Uma botnet chamada AryStinger está infectando mais de 4.300 roteadores D-Link descontinuados ao redor do mundo, transformando-os em proxies para ataques distribuídos. Os modelos DIR-850L e DIR-818LW, que não recebem atualizações de firmware há anos, estão sendo comprometidos por falhas antigas como CVE-2013-3307 e CVE-2025-11837. A recomendação é clara: quem ainda usa esses roteadores precisa substituí-los imediatamente.
O que é o AryStinger
O AryStinger é uma botnet até então desconhecida, identificada em junho de 2026 pela equipe de inteligência de ameaças XLab, da empresa chinesa Qianxin. O malware compromete roteadores D-Link descontinuados — especificamente os modelos DIR-850L e DIR-818LW — e os transforma em proxies remotos controlados por atacantes. Mais de 4.300 dispositivos foram infectados em todo o mundo, segundo os dados de telemetria divulgados pelos pesquisadores.
Os roteadores infectados funcionam como “executores” distribuídos: recebem comandos de um servidor central (C2) e executam tarefas como escaneamento de portas, tunelamento de tráfego, interceptação de dados e propagação de novos ataques. A arquitetura distribuída permite que o atacante divida operações massivas em fragmentos menores, processados em paralelo por milhares de dispositivos ao mesmo tempo.
Como o malware age
O AryStinger explora três vulnerabilidades conhecidas para comprometer os roteadores: CVE-2013-3307, um buffer overflow que permite execução remota de código; CVE-2016-5681, outra falha de execução remota no firmware do DIR-818LW; e a CVE-2025-11837, descoberta mais recentemente. Todas essas falhas afetam versões de firmware que nunca receberão correção — os dois modelos atingiram o fim de vida útil (EoL) há anos.
| Vulnerabilidade | Tipo | Ano | Impacto |
|---|---|---|---|
| CVE-2013-3307 | Buffer overflow | 2013 | RCE remoto sem autenticação |
| CVE-2016-5681 | Execução remota | 2016 | RCE no firmware DIR-818LW |
| CVE-2025-11837 | Comando OS | 2025 | Execução de comandos remotos |
Depois de infectar o roteador, o malware instala um backdoor SSH baseado no Dropbear, altera as configurações de DNS e estabelece comunicação persistente com o servidor de comando e controle. O tráfego de todos os dispositivos conectados à rede doméstica passa por esse roteador comprometido antes de chegar à internet. Na prática, o atacante consegue monitorar e interceptar tudo o que circula naquela conexão — incluindo senhas enviadas sem criptografia e sessões HTTP. Trata-se de uma situação de man-in-the-middle invisível na porta de entrada da rede.
Risco além do seu roteador
O perigo não se limita ao dono do roteador infectado. Dispositivos comprometidos pelo AryStinger são usados como trampolim para atacar terceiros. A botnet realiza escaneamentos massivos de IP e DNS em nome do atacante, mapeando vulnerabilidades em redes corporativas e governamentais ao redor do mundo. Esse modelo de operação se encaixa no perfil de ataques distribuídos que exploram infraestrutura alheia como escudo.
A XLab identificou duas variantes do malware. A primeira, escrita em C, foca nos roteadores descontinuados. A segunda, escrita em Go, ataca sistemas NAS (Network Attached Storage) da D-Link e carrega ferramentas de pentest open-source integradas, permitindo escaneamento de IP e DNS, execução de comandos shell, e execução de código-fonte em Go, Java e Python diretamente nos dispositivos comprometidos. Embora a versão para NAS tenha alcance menor por enquanto, sua sofisticação técnica é consideravelmente superior.
Mapa das infecções
Os dados de telemetria da Qianxin revelam onde a botnet se concentrou até o momento:
| País | Percentual das infecções |
|---|---|
| Coreia do Sul | 48,5% |
| China | 31,8% |
| Suécia | 6,4% |
| Malásia | 3,5% |
| Singapura | 2,5% |
| Outros países | 7,3% |
Nenhum país da América Latina aparece entre os mais afetados, mas isso não é motivo para tranquilidade. Os roteadores alvo circularam amplamente no Brasil desde meados da década de 2010, vendidos por varejistas como Mercado Livre, Americanas e Kalunga. A ausência de dados de telemetria da América Latina pode indicar simplesmente que a varredura da Qianxin tem menor cobertura na região — não que os roteadores não estejam infectados.
O histórico se repete
Os mesmos modelos DIR-850L e DIR-818LW já foram alvo da botnet AVrecon, desmantelada em 2023 pelo provedor Lumen Technologies e por autoridades dos EUA e da Europa. A AVrecon infectou cerca de 360 mil dispositivos ao redor do mundo usando a mesma estratégia: roteadores descontinuados sem patch de segurança. O serviço SocksEscort operava sobre essa infraestrutura como proxy comercial para diversos crimes digitais.
As autoridades conseguiram desativar o serviço à época, mas os roteadores permaneceram nas redes dos usuários — vulneráveis, sem correção possível e prontos para serem recrutados pela próxima botnet que aparecesse. É exatamente o que aconteceu com o AryStinger. Enquanto o hardware não for substituído, o problema persiste.
O que fazer agora
A recomendação da própria D-Link, confirmada em boletim de segurança oficial de janeiro de 2026, é direta: dispositivos que atingiram o fim de vida útil (EoL) e fim de suporte (EoS) não recebem atualizações de firmware e não possuem remediação disponível. A única solução definitiva é substituir o hardware.
- Verifique o modelo: olhe a etiqueta na parte inferior do seu roteador D-Link. Se for DIR-850L ou DIR-818LW, o dispositivo está em risco permanente.
- Substitua imediatamente: compre um roteador de fabricante com histórico de atualizações regulares (TP-Link, ASUS, Ubiquiti). O custo de um roteador novo é infinitamente menor que o de uma invasão de rede.
- Medidas paliativas: enquanto não substituir, desative o gerenciamento remoto, troque a senha administrativa padrão e evite transações bancárias pela rede doméstica.
- Camada extra: um firewall como pfSense entre o roteador e os dispositivos internos adiciona proteção significativa.
Problema estrutural
O AryStinger expõe um problema que a indústria de networking ignora há anos: roteadores domésticos são vendidos, usados por uma década e depois abandonados pelo fabricante sem nenhum suporte de segurança. O consumidor não é informado de que seu dispositivo se tornou um passivo de risco permanente. A prática é particularmente perigosa no Brasil, onde grande parte da população utiliza equipamentos de entrada comprados há muitos anos e sem substituição planejada.
Enquanto não existir regulamentação que obrigue fabricantes a fornecer atualizações de segurança por um período mínimo — como já ocorre com smartphones na União Europeia — botnets como AryStinger continuarão encontrando dezenas de milhares de dispositivos desprotegidos prontos para serem recrutados. O problema não é técnico. É estrutural.
Referências
- BleepingComputer — AryStinger botnet infected thousands of D-Link routers worldwide
- TechJack Solutions — AryStinger Botnet Exploits End-of-Life D-Link Routers
- Security Affairs — Authorities disrupt SocksEscort proxy service tied to AVrecon botnet
- D-Link Security Advisory — End-of-Life / End-of-Service Vulnerability Report (SAP10491)