Un nouveau botnet baptisé AryStinger compromet des milliers de routeurs anciens, principalement des modèles D-Link, pour en faire des relais d’attaque discrets. Repéré en mars 2026 par des chercheurs en cybersécurité, ce réseau malveillant exploite des failles non corrigées vieilles de plus de dix ans pour prendre le contrôle d’équipements oubliés et toujours connectés à Internet.

Les chercheurs du laboratoire XLab, rattaché à l’entreprise chinoise de sécurité QiAnXin, ont identifié la campagne AryStinger en mars 2026. Celle-ci exploite plusieurs vulnérabilités anciennes affectant des routeurs grand public fondés sur des puces RTL819X, très répandues entre 2012 et 2015. Les modèles D-Link DIR-850L et DIR-818LW constituent la grande majorité des appareils compromis. Des équipements Linksys et d’autres références D-Link sont également touchés, mais dans une moindre mesure. Au total, XLab a dénombré plus de 4 300 routeurs infectés à travers le monde.

Des failles connues mais toujours exploitables

La force d’AryStinger repose précisément sur l’absence de mise à jour de ces équipements. Le botnet s’appuie notamment sur la faille CVE-2013-3307, une vulnérabilité d’injection de commandes présente dans une fonction de diagnostic de routeurs Linksys, ainsi que sur CVE-2016-5681, un débordement de mémoire dans l’interface de connexion de plusieurs modèles D-Link. Ces deux failles sont connues depuis plus d’une décennie, mais restent pleinement exploitables sur les appareils qui n’ont jamais reçu de correctif ou qui ne sont plus maintenus par leur fabricant.

Un arsenal d’attaque varié

Une fois installé sur un routeur, le logiciel malveillant établit une connexion avec un serveur de commande et attend des instructions. Il peut déployer Dropbear, un serveur SSH léger, afin de maintenir un accès distant persistant. Les opérateurs du botnet peuvent alors utiliser les appareils compromis pour scanner des ports à grande échelle, identifier des services exposés sur Internet, rechercher des sous-domaines ou rediriger du trafic réseau. AryStinger est également capable de modifier les paramètres DNS du routeur infecté, ouvrant ainsi la voie à des redirections vers de faux sites, des pages de hameçonnage ou des infrastructures malveillantes. XLab a par ailleurs identifié une variante plus récente du logiciel malveillant, écrite dans le langage Go et conçue pour cibler des serveurs NAS via la faille CVE-2025-11837, qui affecte l’outil QNAP Malware Remover. Cette version semble toutefois moins répandue.

Risques et précautions pour les utilisateurs

Un routeur compromis peut servir de point de passage discret pour des cyberattaques visant d’autres cibles, exposant indirectement son propriétaire. La modification des serveurs DNS peut rediriger les appareils du foyer vers de fausses pages de connexion destinées à dérober des identifiants. Les chercheurs recommandent de vérifier le modèle exact du routeur et l’état de son support. Si une mise à jour du micrologiciel est disponible sur le site officiel du fabricant, elle doit être installée sans délai. Pour les appareils qui ne reçoivent plus de correctifs, le remplacement reste la seule solution réellement efficace. Il est aussi conseillé de modifier le mot de passe administrateur s’il est resté sur sa valeur d’usine, de désactiver l’accès à distance s’il n’est pas nécessaire, et de vérifier les serveurs DNS configurés dans l’interface d’administration.

AryStinger illustre une menace persistante dans le paysage numérique : les appareils anciens, oubliés sous les meubles ou dans les tiroirs, continuent de tourner et d’être exposés, devenant des vecteurs idéaux pour des acteurs malveillants en quête de relais discrets et difficiles à tracer.

Source : Clubic — https://www.clubic.com/actualite-617995-arystinger-des-milliers-de-vieux-routeurs-d-link-transformes-en-relais-d-attaque-par-un-nouveau-botnet.html