Botnet AryStinger compromete miles de routers D-Link a nivel mundial

Qué pasó

La botnet AryStinger fue identificada por investigadores de XLab, equipo de inteligencia de amenazas de la empresa china de ciberseguridad Qianxin, en un informe publicado el 21 de junio. Según los hallazgos, el software malicioso convierte los routers infectados en "ejecutores" controlados remotamente, capaces de realizar escaneo de redes, proxy de tráfico, tunelización y ejecución de comandos en nombre del atacante.

AryStinger explota vulnerabilidades previamente conocidas, entre ellas CVE-2013-3307, CVE-2016-5681 y CVE-2025-11837, dirigiéndose principalmente a routers D-Link DIR-850L y D-Link DIR-818LW. Estos dos modelos ya habían sido blanco de la botnet AVrecon, una campaña maliciosa que el proveedor de servicios de comunicaciones Lumen logró interrumpir en 2023.

De acuerdo con los datos de telemetría de Qianxin, cerca de la mitad de las infecciones se concentran en Corea del Sur (48,5%), seguido de China (31,8%), Suecia (6,4%), Malasia (3,5%) y Singapur (2,5%). Los investigadores identificaron dos variantes del malware: una basada en lenguaje C, dirigida a routers desactualizados, y otra escrita en Go, enfocada en sistemas de almacenamiento NAS. La versión para NAS incluye capacidades adicionales como escaneo de IP y DNS, ejecución de comandos y reconocimiento de redes internas mediante la integración de herramientas de pruebas de penetración de código abierto.

Contexto

La aparición de AryStinger se inscribe en un patrón creciente de campañas de malware que apuntan a dispositivos de red de consumo y de pequeñas oficinas que rara vez reciben actualizaciones de seguridad. Los routers D-Link de las series afectadas, fabricados hace más de una década, representan un blanco particularmente atractivo para los operadores de botnets debido a su amplia base instalada y a la dificultad de los usuarios para actualizar el firmware.

La reutilización de vulnerabilidades conocidas, algunas con más de una década de antigüedad, evidencia un problema estructural en la industria de dispositivos conectados. Muchos fabricantes discontinúan el soporte de seguridad para modelos antiguos, dejando a los usuarios expuestos a exploits públicos que circulan durante años en repositorios especializados.

El modelo de operación de las botnets modernas ha evolucionado hacia esquemas de servicios donde la infraestructura comprometida se arrienda a terceros para realizar actividades ilícitas. AryStinger refleja esta sofisticación operativa y la profesionalización del cibercrimen. Los investigadores de XLab advirtieron, además, que la infraestructura de escaneo distribuido de DNS podría ser reutilizada para generar grandes volúmenes de consultas contra servidores resolutores, configurando un potencial ataque de denegación de servicio, aunque no se han observado este tipo de operaciones hasta la fecha.

Impacto para empresas chilenas

Si bien los datos de telemetría no sitúan a Chile entre los países más afectados, la presencia global de los modelos D-Link DIR-850L y DIR-818LW en redes corporativas y de pequeñas y medianas empresas chilenas plantea un riesgo latente. Numerosas pymes en el país utilizan equipamiento de red de consumo que rara vez es auditado o actualizado de manera periódica.

Para las empresas chilenas, una infección de este tipo puede traducirse en compromisos significativos: redireccionamiento del tráfico de navegación, exposición de credenciales corporativas y utilización de los dispositivos como plataforma para ataques contra terceros, lo que puede generar responsabilidades legales adicionales para las organizaciones afectadas.

Sectores como el comercio electrónico, la banca y los servicios financieros son particularmente sensibles al robo de tráfico y credenciales. La situación refuerza la necesidad de que las empresas chilenas adopten políticas activas de gestión de vulnerabilidades en su infraestructura de red, incluyendo inventarios de dispositivos, aplicación oportuna de actualizaciones de firmware y reemplazo de equipamiento fuera de soporte de seguridad.

Qué sigue

La evolución de AryStinger sugiere que los operadores podrían ampliar el catálogo de dispositivos objetivo y sofisticar las capacidades del malware en los próximos meses. Las empresas de ciberseguridad recomiendan tratar cualquier router que haya superado los cinco años de servicio como candidato a reemplazo inmediato.

A nivel regulatorio, las crecientes exigencias de protección de datos en Chile, alineadas con estándares internacionales, hacen previsible que las organizaciones enfrenten presiones adicionales para demostrar la debida diligencia en la seguridad de su infraestructura de red. El caso AryStinger constituye un nuevo argumento para acelerar esa transición en el mercado local.