Plus de 4 000 routeurs anciens, principalement des modèles D-Link, auraient été compromis par AryStinger. Le botnet les transforme en relais d’attaque, capables de scanner Internet, rediriger du trafic et exposer leurs propriétaires à des détournements DNS.
Un routeur branché depuis dix ans, oublié sous un meuble ou derrière une box, peut encore vous rendre de fiers services… ainsi qu’aux cybercriminels. Repérée en mars 2026 par les chercheurs de QiAnXin XLab, la campagne AryStinger exploite plusieurs vulnérabilités anciennes pour enrôler des équipements D-Link sous-patchés, basés sur des puces RTL819X, très répandues entre 2012 et 2015. Une fois infectés, ces appareils servent de relais pour scanner Internet, identifier des services exposés, faire transiter du trafic et préparer de futures cyberattaques.
Sponsorisé
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Sponsorisé
Plus de 4 000 routeurs enrôlés pour préparer d’autres attaques
D’après XLab, AryStinger a déjà compromis plus de 4 300 routeurs dans le monde. Les infections touchent surtout les D-Link DIR-850L et DIR-818LW, qui représentent à eux seuls l’essentiel des appareils repérés par les chercheurs, ainsi que quelques modèles Linksys et plusieurs autres références D-Link plus marginales.
La campagne s’appuie sur des failles anciennes, mais toujours exploitables sur des équipements qui n’ont pas été corrigés. XLab cite notamment CVE-2013-3307, une vulnérabilité d’injection de commandes dans une fonction de diagnostic de routeurs Linksys, et CVE-2016-5681, un débordement de mémoire dans l’interface de connexion de plusieurs modèles D-Link.
Une fois installé, le malware contacte son serveur de commande et attend les consignes. Il peut aussi déployer Dropbear, un serveur SSH léger, afin de maintenir un accès distant au routeur compromis. Les opérateurs peuvent alors utiliser ces appareils pour scanner des ports, identifier des services exposés, rechercher des sous-domaines ou rediriger du trafic en vue de mener des cyberattaques à grande échelle. AryStinger peut aussi modifier les réglages DNS du routeur, ce qui ouvre la voie à des redirections vers de faux sites, des pages de phishing ou des domaines malveillants, ainsi qu'à de la surveillance de trafic.
XLab a par ailleurs confirmé avoir identifié une version plus avancée d’AryStinger, écrite en Go, cette fois pensée pour cibler des serveurs NAS via CVE-2025-11837, une faille d’injection de code affectant l’outil QNAP Malware Remover. Cette variante peut scanner le réseau interne, exécuter des commandes et s’appuyer sur des outils de pentest open source. Sa diffusion semble toutefois plus limitée que celle observée sur les routeurs RTL819X.
Mise à jour, DNS, accès distant, les vérifications à faire
Pour limiter les risques, commencez par vérifier le modèle exact de votre routeur et l’état de son support par le constructeur. La recommandation vaut pour les D-Link cités par XLab, mais aussi pour tous les équipements exposés à Internet, qu’il s’agisse de routeurs, de NAS, de caméras IP ou de stations domotiques. Si une mise à jour est disponible sur le site officiel du fabricant, installez-la sans attendre. Si l’appareil n’a plus reçu de correctif depuis des années, partez du principe qu’il n’offre plus un niveau de sécurité acceptable.
Dans l’interface d’administration, changez le mot de passe administrateur s’il est resté sur sa valeur par défaut, désactivez l’accès distant s’il n’a pas de raison d’être, et vérifiez les serveurs DNS configurés. Un DNS inconnu peut signaler une mauvaise configuration ou un détournement, avec à la clé des redirections vers des sites malveillants.
Quand le routeur n’est plus maintenu par son fabricant, le choix se réduit à peau de chagrin. Vous pouvez l’isoler derrière un autre équipement, couper les fonctions exposées ou le cantonner à un usage local, mais l’intérêt reste limité pour un appareil censé faire transiter tout le trafic du réseau. Dans la plupart des cas, il faudra donc songer à le remplacer par un modèle encore suivi.
Un botnet de routeurs est un ensemble d’équipements réseau compromis et pilotés à distance par un serveur de commande (C2). Comme un routeur est allumé en continu, connecté à Internet et placé au cœur des échanges, il peut servir de point de passage discret pour relayer du trafic ou mener des scans de ports à grande échelle. Contrairement à un PC, il est souvent peu surveillé (logs limités, pas d’agent de sécurité), ce qui rend l’infection moins visible. Le contrôle d’un routeur donne aussi un avantage stratégique : l’attaquant peut influencer ou observer une partie du trafic du réseau local.
Que signifient les vulnérabilités CVE mentionnées (ex. CVE-2013-3307, CVE-2016-5681) et pourquoi restent-elles exploitables des années plus tard ?Un identifiant CVE (Common Vulnerabilities and Exposures) référence publiquement une faille donnée, avec sa description et, souvent, des preuves de concept disponibles. Des failles comme l’injection de commandes permettent d’exécuter des instructions sur l’appareil via une interface web ou une fonctionnalité exposée, tandis qu’un débordement de mémoire peut conduire à un crash ou à l’exécution de code. Elles restent exploitables quand les routeurs ne sont pas mis à jour, ou quand ils ne reçoivent plus de correctifs (fin de support). Le risque augmente si l’interface d’administration est accessible depuis Internet, car l’attaquant peut tenter l’exploitation à distance et à grande échelle.
En quoi un détournement DNS sur un routeur compromet-il concrètement la navigation des utilisateurs ?Le DNS traduit les noms de domaine (ex. un site web) en adresses IP, et un routeur distribue souvent les serveurs DNS à tous les appareils du réseau via DHCP. Si un attaquant remplace ces DNS par des serveurs malveillants, il peut rediriger certains domaines vers de faux sites (phishing) ou vers des infrastructures contrôlées. Même sans casser le chiffrement HTTPS, cela facilite des attaques par fausses pages de connexion, par redirection vers des domaines ressemblants, ou par blocage sélectif de services. C’est aussi un signal de compromission à vérifier, car une configuration DNS inconnue n’a généralement aucune raison légitime sur un réseau domestique.
