AryStinger : le malware qui change vos vieux routeurs en espions invisibles

Des routeurs oubliés, fabriqués il y a plus de dix ans, sont en train d'être transformés en yeux et oreilles invisibles au service de cyberattaquants. Baptisé AryStinger, ce nouveau logiciel malveillant a déjà détourné plus de 4 300 routeurs obsolètes à travers le monde en exploitant des failles de sécurité vieilles de plus de dix ans, révèle l'équipe de recherche XLab de la société chinoise QiAnXin.

Le 12 mars 2026, le système de détection de XLab a repéré une adresse IP unique, 107.150.106.14, diffusant un binaire Linux passé totalement inaperçu : aucun antivirus du service VirusTotal ne le détectait. Ce programme visait des routeurs équipés des puces RTL819X du fabricant Realtek, du matériel courant entre 2012 et 2015 et qui ne reçoit plus aucune mise à jour de sécurité depuis des années.

Pour s'introduire dans ces appareils, AryStinger s'appuie sur deux vulnérabilités d'un autre âge : la faille CVE-2013-3307, dévoilée en 2013 et touchant certains modèles Linksys, et la CVE-2016-5681, datant de 2016 et affectant des routeurs D-Link. Le parc infecté est très majoritairement composé d'équipements D-Link, le seul modèle DIR-850L représentant à lui seul environ 75 % des victimes.

Une infrastructure d'espionnage plutôt qu'un botnet classique

Ce qui distingue AryStinger, c'est d'abord ce qu'il ne fait pas. Il ne chiffre aucun fichier pour réclamer une rançon, ne mine aucune cryptomonnaie et ne cherche pas à saturer des serveurs. Sa mission se situe en amont de l'intrusion : préparer le terrain. Chaque appareil contaminé devient un poste de reconnaissance et un relais qui masque la véritable position de l'attaquant.

Une fois infectés, les routeurs scannent Internet, identifient les services exposés, énumèrent des sous-domaines, font transiter du trafic et exécutent des commandes à la demande, avant de renvoyer les résultats à l'opérateur. « Contrairement à la pratique courante consistant à exploiter les failles des objets connectés pour bâtir des botnets de déni de service ou de minage, cette campagne vise à constituer une grappe d'infrastructure dédiée à la reconnaissance d'intrusion », écrit XLab dans son rapport.

Le malware se décline en deux versions. Une variante légère, écrite en langage C, est réservée aux vieux routeurs dont la puissance limitée ne permet que le balayage massif de DNS et le tunnel de trafic. Une seconde, écrite en Go, vise les serveurs de stockage NAS et embarque de véritables outils de reconnaissance comme fscan, ksubdomain ou httpx, capables d'exécuter à distance du code fourni par l'attaquant.

Pour répartir sa charge de travail, l'opérateur découpe un vaste balayage en multiples fragments qu'il distribue à l'ensemble de la flotte. Chaque routeur infecté, que XLab surnomme un « Executor », traite sa part en parallèle des autres, puis transmet les résultats. Cette mécanique permet de cartographier des réseaux entiers à grande vitesse tout en diluant l'origine des requêtes entre des milliers d'appareils anodins, rendant la traque de l'attaquant particulièrement ardue. Le total de 4 300 routeurs ne concerne d'ailleurs que les modèles Realtek : les serveurs NAS compromis ne sont pas encore comptabilisés, et le chiffre continue de grimper.

Des routeurs piégés pour détourner votre trafic

La capacité la plus inquiétante d'AryStinger reste sa faculté à modifier les réglages DNS de l'appareil. En détournant ces paramètres, les pirates peuvent rediriger le trafic du navigateur de la victime vers des pages d'hameçonnage ou des sites diffusant d'autres logiciels malveillants, et surveiller discrètement l'ensemble des données entrant et sortant du foyer ou de l'entreprise.

Pour se maintenir durablement, le programme installe un serveur SSH caché sur un port fixe et communique avec son centre de commande via des canaux chiffrés et masqués. Géographiquement, les infections se concentrent en Corée du Sud (environ 48 %) et en Chine (près de 32 %), suivies de la Suède, de la Malaisie et de Singapour. Une seconde souche, apparue le 26 avril, vise désormais les boîtiers NAS de la marque QNAP via une faille corrigée seulement quelques mois plus tôt.

Ce mode opératoire n'est pas inédit. Il rappelle les réseaux de relais opérationnels, ou ORB, que des acteurs étatiques utilisent pour scanner et rebondir tout en restant introuvables. Comme pour les récentes cyberattaques qui ont paralysé des services en ligne en France, l'affaire illustre une réalité dérangeante : du matériel en fin de vie, couplé à des failles anciennes, suffit à bâtir une infrastructure d'attaque silencieuse. À l'heure où les piratages massifs de données personnelles se multiplient, les experts rappellent une règle simple : un routeur qui ne reçoit plus de mises à jour doit être remplacé sans attendre.