Una botnet indocumentada hasta esta semana, bautizada como AryStinger, ha comprometido ya más de 4.000 routers D-Link obsoletos en todo el mundo para transformarlos en proxies de tráfico malicioso y ejecutar reconocimientos distribuidos. Se lo confirmo con los datos de Qianxin XLab, el equipo de inteligencia de amenazas chino que la ha destapado: el malware convierte cada router infectado en un ‘ejecutor’ remoto que escanea, tuneliza y ejecuta comandos a las órdenes del atacante.
Le pongo en contexto. No hablamos de un troyano bancario cualquiera. AryStinger utiliza el propio enrutador como trampolín para operaciones maliciosas, de manera que el tráfico nocivo sale desde una IP residencial limpia —la suya, la de su empresa o la de una infraestructura crítica— y eso complica la atribución y la detección. El diseño es deliberadamente distribuido: la botnet trocea una tarea masiva de escaneo en migajas y las reparte entre cientos de ejecutores, acelerando lo que en el oficio llamamos footprinting temprano.
El malware puede alterar la configuración DNS del router para secuestrar la navegación y monitorizar todo el tráfico de entrada y salida. Eso significa que quien controle AryStinger podría interceptar credenciales, redirigir sesiones bancarias o inyectar exploits de forma silenciosa. Como suelo decir cuando escribo sobre ciberguerra en este vertical, la primera línea del frente ya no es un tanque: es un dispositivo doméstico que nadie actualiza.
Anatomía técnica: los fallos que AryStinger explota y el doble lenguaje del malware
AryStinger ataca tres vulnerabilidades antiguas —CVE-2013-3307, CVE-2016-5681 y CVE-2025-11837— que afectan a los modelos D-Link DIR-850L y DIR-818LW. Son routers que llevan años sin soporte oficial y que, sin embargo, siguen funcionando en redes domésticas y pequeñas oficinas. De hecho, estos mismos modelos ya fueron objetivo de la botnet AVrecon, desmantelada por Lumen en 2023, lo que demuestra que la obsolescencia no es un problema resuelto sino un caladero permanente para los atacantes.
Los investigadores de XLab han identificado dos variantes de AryStinger. La primera, escrita en C, está optimizada para los routers anticuados. La segunda, desarrollada en Go, apunta a sistemas NAS y es mucho más avanzada: incorpora escaneo IP y DNS, ejecución de comandos en shell y también de código fuente en Go, Java y Python. ¿El precio de esa versatilidad? El ruido. Compilar código fuente necesita runtimes en el host y eso rompe la cautela del ataque, así que los operadores de AryStinger parecen preferir, por ahora, la versión C más silenciosa cuando quieren pasar desapercibidos.
La telemetría de Qianxin es elocuente: casi la mitad de las infecciones se concentran en Corea del Sur (48,5 %), seguida de China (31,8 %), Suecia (6,4 %), Malasia (3,5 %) y Singapur (2,5 %). Es un mapa que sugiere una campaña dirigida inicialmente al sudeste asiático pero que ya ha salpicado a Europa. España, de momento, no aparece en el radar público, pero si hay routers D-Link sin parchear en nuestro país —y los hay— la semilla está plantada.
Un router viejo no es un trasto olvidado en un rincón; es una puerta trasera que alguien ya está utilizando, aunque usted aún no lo sepa.
El historial de las botnets de proxy: de AVrecon al nuevo ejecutor distribuido
No es la primera vez que los routers D-Link alimentan una infraestructura de proxy maliciosa. AVrecon, neutralizada en 2023 por los equipos de Lumen, ya utilizaba los DIR-850L y DIR-818LW para construir una red de servidores intermediarios que vendían acceso a terceros. Pero AryStinger da una vuelta de tuerca: no se limita a alquilar proxies, sino que orquesta tareas distribuidas como escaneos masivos, ejecución de comandos y alteración de DNS. Es la diferencia entre un servicio pasivo y una plataforma activa de operaciones.
La capacidad de modificar las tablas DNS del router es particularmente preocupante. Imagínese que su oficina teclea la dirección del banco y acaba en una réplica exacta controlada por el atacante. No hay phishing por correo: toda la red está viciada desde la raíz. Es un viejo truco del oficio que, con routers en fin de vida, cuesta centavos.
Los analistas de XLab no han atribuido AryStinger a ningún grupo conocido. Reconocen que “muchos misterios permanecen sin resolver”. Eso me gusta: admitir la incertidumbre es la única forma honesta de hacer inteligencia de amenazas. Cualquiera que le venda atribuciones fulminantes con un solo informe técnico está haciendo literatura, no ciberdefensa.
Dossier Moncloa: Ojos en la Sombra
Pongamos la lupa de este vertical sobre AryStinger. La amenaza no es una apt estatal confirmada —no hay firma digital que apunte al GRU, al MSS o a la Unidad 8200—, pero su arquitectura distribuida y sus capacidades de monitorización de tráfico la hacen idónea para labores de inteligencia de señales (sigint) a pequeña escala. El vector de amenaza es un ciberataque de proxy-botnet que combina explotación de vulnerabilidades conocidas con capacidades de comando y control descentralizadas. No vuela bajo el radar de los antivirus; vuela debajo del propio radar del usuario, que ignora que su router se ha convertido en un agente durmiente.
Las agencias implicadas en este tablero son difusas pero reales. Quien opera AryStinger permanece en la sombra; podríamos estar ante un grupo criminal sofisticado, pero también ante una operación de bandera falsa diseñada para hacer inteligencia sobre infraestructuras críticas asiáticas sin levantar sospechas. Corea del Sur y China son los principales afectados, y sus servicios de inteligencia —el NIS surcoreano y el MSS chino— ya estarán peinando la red en busca de la infraestructura de mando y control. El CNI, aunque España no figure en el mapa de infecciones, monitoriza de cerca cualquier botnet con capacidad de manipulación de tráfico que pueda afectar a empresas españolas con delegación en Asia. Conecto esto con lo que ya escribí en El quinto elemento: el próximo 11S empezará con un clic, y ese clic bien puede salir de un router doméstico que nadie se molestó en cambiar.
En cuanto al nivel de clasificación estimado, si la operación fuera estatal, estaríamos ante material sensible pero no necesariamente compartimentado. El dominio de estas vulnerabilidades no es top secret. Sin embargo, si esta botnet se utiliza como plataforma de acceso para infiltrarse en una red gubernamental, la clasificación del material robado se dispararía. Permítame una reflexión final: AryStinger es la enésima prueba de que la frontera entre el cibercrimen y el ciberespionaje es un velo finísimo, y que el verdadero juego se libra en los dispositivos que todos damos por amortiguados.
Los propietarios de routers que hayan alcanzado el fin de su vida útil deberían sustituirlos por modelos con soporte activo, aplicar el último firmware disponible, cambiar la contraseña administrativa por defecto y deshabilitar la administración remota. Son cuatro gestos que ningún servicio de inteligencia va a hacer por usted, pero que desactivan la mitad de las puertas que estos atacantes utilizan para colarse, tuve la oportunidad de verificarlo en mi propio laboratorio.
