Lecture Zen Résumer l'article Le malware AryStinger, détecté par XLab, exploite d'anciennes vulnérabilités pour construire une infrastructure discrète de cartographie réseau mondiale. Avec des variantes en C et Go, le malware cible des routeurs D-Link anciens et périphériques NAS, infiltrant 4 300 appareils principalement en Corée du Sud. Actif potentiellement depuis 2024, AryStinger reste sous le radar des antivirus, soulignant l'urgence de mettre à jour les firmwares souvent négligés.

Le malware AryStinger, détecté par XLab, exploite d'anciennes vulnérabilités pour construire une infrastructure discrète de cartographie réseau mondiale. Avec des variantes en C et Go, le malware cible des routeurs D-Link anciens et périphériques NAS, infiltrant 4 300 appareils principalement en Corée du Sud. Actif potentiellement depuis 2024, AryStinger reste sous le radar des antivirus, soulignant l'urgence de mettre à jour les firmwares souvent négligés.

Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Un nouveau malware détecté par les chercheurs de XLab exploite des failles vieilles de plus de dix ans pour constituer discrètement une infrastructure d’attaque mondiale. Ses victimes ne savent généralement pas qu’elles en font partie. L’un des défis centraux dans la traque aux botnets, c’est qu’ils se reconstituent.

Démantelé un jour, un réseau de machines compromises réapparaît sous une autre forme le lendemain, porté par de nouveaux opérateurs. En 2023, Lumen avait mis fin aux activités d’AVrecon, un botnet qui avait infecté plus de 70 000 routeurs Linux, dont des modèles D-Link DIR-850L et DIR-818LW. Trois ans plus tard, ces mêmes équipements sont de nouveau dans le viseur.

Le 17 juin 2026, les chercheurs de XLab, laboratoire de veille de l’entreprise de cybersécurité chinoise Qianxin, ont publié l’analyse d’un malware jusqu’alors inconnu, baptisé AryStinger. Contrairement aux botnets classiques, conçus pour lancer des attaques par déni de service (DDoS) ou miner de la cryptomonnaie, celui-ci poursuit un objectif plus discret : infiltrer des réseaux cibles en amont d’intrusions, en restant invisible le plus longtemps possible. Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs.

Ce contenu est fourni par YouTube. Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus) En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires. Vous gardez la possibilité de retirer votre consentement à tout moment.

Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies. J’accepte tout Gérer mes choix Cartographier avant de frapper L’objectif d’AryStinger est donc la reconnaissance préalable à l’intrusion : chaque routeur infecté devient un « executor », capable de recevoir des tâches fractionnées depuis un serveur de commande : balayage de ports, identification de services, énumération de sous-domaines, et de les exécuter en parallèle avec d’autres nœuds. L’attaquant dispose ainsi d’une infrastructure de cartographie réseau distribuée, efficace et difficile à attribuer.

Le malware existe en deux variantes. La première, écrite en C, exploite les vulnérabilités CVE-2013-3307 et CVE-2016-5681 pour cibler des routeurs D-Link et Linksys anciens. La seconde, développée en Go et plus récente, s’attaque aux périphériques NAS via CVE-2025-11837.

Plus complète, elle intègre des outils de pénétration open source et permet d’exécuter à distance du code. Dans les deux cas, une porte dérobée est déployée sur l’appareil compromis, offrant à l’attaquant un accès persistant. Selon la télémétrie de Qianxin, plus de 4 300 routeurs sont déjà infectés.

La Corée du Sud concentre près de la moitié des victimes, devant la Chine, la Suède, la Malaisie et Singapour. Le modèle DIR-850L représente à lui seul 75 % des appareils touchés. Source : Numerama avec Dall-E Actif depuis peut-être 2024 Un détail retient également l’attention des chercheurs : la clé de chiffrement codée en dur dans le malware est « sh_#@!_2024_secret ».

L’année suggère que les opérateurs pourraient être actifs depuis au moins deux ans, bien avant la détection initiale de mars 2026. Le taux de détection reste par ailleurs très faible dans les moteurs antivirus classiques. Pour l’heure, aucune attribution n’a été établie.

XLab appelle la communauté à partager ses informations et recommande sans détour de remplacer tout routeur dont le firmware n’a pas été mis à jour depuis plusieurs années. Un appareil oublié dans un coin peut très bien travailler pour quelqu’un d’autre. Votre VPN préféré n'est pas celui que vous croyez Meilleur VPN 2026 : le Comparatif complet de Numerama Retrouvez notre comparateur pour choisir le meilleur VPN Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Installer Numerama Un édito exclusif, un guide, une reco de lecture et l’agenda de la rédaction : c’est ce que vous trouverez tous les jeudis dans ToujoursPlus, la newsletter tech écrite par Julien Cadot. Inscrivez-vous gratuitement ici ! Crédit photo de la une : montage Numerama Signaler une erreur dans le texte Botnet cybersécurité Routeur Entreprise Sécurité informatique B2B Ne plus voir cette pub Ne plus voir cette pub