AryStinger-Botnetz, D-Link-Router

AryStinger-Botnetz: 4.000 D-Link-Router gekapert, 48% in Südkorea

21.06.2026 - 21:26:38 | boerse-global.de

Die Schadsoftware AryStinger nutzt veraltete Router-Modelle für Spionage und Manipulation. Schwerpunkt der Angriffe liegt in Ostasien.

D-Link-Router: Hacker kapern 4.000 Geräte für globales Botnetz
AryStinger-Botnetz - A dark, ominous image of a network router glowing red, connected by digital lines to a global map with illuminated nodes in East Asia. 21.06.2026 - Bild: über boerse-global.de

Mehr als 4.000 veraltete D-Link-Router wurden von Hackern in ein globales Botnetz eingebunden. Sicherheitsforscher enthüllen die Details.

Die als AryStinger bezeichnete Schadsoftware nutzt gezielt Schwachstellen in ausgemusterten Router-Modellen aus. Betroffen sind vor allem die Geräte DIR-850L und DIR-818LW, die vom Hersteller nicht mehr mit Sicherheitsupdates versorgt werden. Die Angreifer haben damit eine verdeckte Infrastruktur für Spionage und Manipulation aufgebaut.

Anzeige

Der Fall der D-Link-Router zeigt drastisch, wie gefährlich veraltete Software für Ihre gesamte Netzwerksicherheit ist. Dieses kostenlose Linux-Startpaket bietet Ihnen eine sichere, stabile und virengeschützte Alternative zu herkömmlichen Systemen. Kostenloses Linux-Startpaket inklusive Ubuntu-Vollversion jetzt sichern

Schwerpunkt in Ostasien

Die Infektionen konzentrieren sich stark auf Ostasien. Fast die Hälfte aller kompromittierten Geräte – 48,5 Prozent – steht in Südkorea. Weitere 31,8 Prozent befinden sich in China. Das berichten Analysten des Sicherheitsunternehmens Qianxin XLab.

Die Täter nutzen gleich drei Sicherheitslücken aus. Neben den altbekannten Schwachstellen CVE-2013-3307 und CVE-2016-5681 kommt auch die erst 2025 entdeckte Lücke CVE-2025-11837 zum Einsatz. Da D-Link für die betroffenen Modelle keine Patches mehr bereitstellt, bleiben die Geräte dauerhaft verwundbar.

Zwei Varianten der Schadsoftware

AryStinger arbeitet mit zwei verschiedenen Malware-Varianten. Eine in C programmierte Version befällt die Router selbst. Eine zweite, in Go geschriebene Variante, zielt auf Network Attached Storage (NAS)-Systeme ab.

Ist ein Gerät erst einmal infiziert, wird es Teil eines verdeckten Netzwerks mit mehreren Funktionen:

  • Proxy-Dienste: Die gekaperten Router verschleiern die Herkunft weiterer Angriffe
  • DNS-Manipulation: Die Umleitung von Nutzerverkehr auf gefälschte Webseiten
  • Scan-Funktionen: Die Suche nach weiteren verwundbaren Geräten im Netz
  • Datenüberwachung: Das heimliche Beobachten des Datenverkehrs
Anzeige

Während Hacker gezielt Schwachstellen in vernetzten Geräten ausnutzen, können Sie Ihren PC mit einem schlanken Betriebssystem effektiv vor unnötigen Risiken schützen. Erfahren Sie im Gratis-Report, wie Sie selbst ältere Hardware ohne teure Neuanschaffung wieder sicher und schnell machen. Gratis-Report: Alten PC mit ChromeOS Flex wiederbeleben

Gefahr für die gesamte Netzinfrastruktur

Die Entdeckung von AryStinger reiht sich ein in eine Serie von Angriffen auf Netzwerkgeräte. Erst Anfang Juni waren bei der FortiBleed-Kampagne über 86.000 Firewalls in 194 Ländern betroffen. Am 20. Juni gelang internationalen Ermittlungsbehörden zudem die Zerschlagung des SocGholish-Botnetzes, das fast 15.000 WordPress-Seiten infiziert hatte.

Für Besitzer der betroffenen D-Link-Modelle haben Software-Updates kaum noch Wirkung. Die Geräte haben das Ende ihres Lebenszyklus erreicht. Sicherheitsexperten empfehlen daher den Austausch gegen moderne Router mit aktuellem Support. Wer die alten Geräte vorerst weiter nutzen muss, sollte zumindest den Fernzugriff deaktivieren, alle Standardpasswörter ändern und die letzte verfügbare Firmware installieren.

de | wissenschaft | 69598682 |