Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Server & Netzwerk 23.06.2026 · 2 min Lesezeit

AryStinger Botnetz infiziert tausende D-Link Router weltweit

Das AryStinger-Botnetz hat ueber 4.000 veraltete D-Link Router infiziert. Die Geraete werden als Proxy-Infrastruktur fuer Scans, Tunnel und Command-Execution missbraucht. Betroffen sind DIR-850L und DIR-818LW.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
AryStinger Botnetz infiziert tausende D Link Router weltweit mit Darstellung eines globalen Cyberangriffs, kompromittierten Routern, Botnetz Infrastruktur, weltweiten Netzwerkverbindungen und roter Sicherheitswarnung.

Was ist AryStinger?

Sicherheitsforscher von Qianxins XLab Threat Intelligence Team haben ein bisher unbekanntes Malware-Botnetz namens AryStinger entdeckt. Es hat mehr als 4.000 veraltete D-Link Router kompromittiert und in ferngesteuerte Proxy-Server umgewandelt.

Die infizierten Geraete werden als sogenannte Executors missbraucht, die im Auftrag des Angreifers Scans, Proxy-Verkehr, Tunnel und Command-Execution durchfuehren. Das Botnetz nutzt eine verteilte Architektur: Grosse Scan-Aufgaben werden in kleine Teile zerlegt und parallel auf tausende infizierte Router verteilt.

Welche Router sind betroffen?

ModellAnfaellig fuerStatus
D-Link DIR-850LCVE-2013-3307, CVE-2016-5681, CVE-2025-11837End-of-Life, kein Patch
D-Link DIR-818LWCVE-2013-3307, CVE-2016-5681, CVE-2025-11837End-of-Life, kein Patch
Andere aeltere D-Link ModelleVerschiedene alte CVEsMeist End-of-Life

Geografische Verteilung der Infektionen

Die Telemetriedaten von XLab zeigen eine klare regionale Konzentration:

  1. Suedkorea – 48,5 % der Infektionen (mit Abstand am staerksten betroffen)
  2. China – 31,8 % der Infektionen
  3. Schweden – 6,4 % der Infektionen
  4. Malaysia – 3,5 % der Infektionen
  5. Singapur – 2,5 % der Infektionen

Deutschland und Europa sind weniger stark betroffen, aber nicht immun. Die Verteilung spiegelt die Verbreitung der anfaelligen Router-Modelle in diesen Regionen wider.

Zwei Varianten der Malware

XLab-Forscher haben zwei Varianten von AryStinger identifiziert:

  1. C-basierte Variante – Zielgruppe sind veraltete Router. Diese Variante ist weiter verbreitet und fokussiert auf die Ausnutzung alter CVEs.
  2. Go-basierte Variante – Zielgruppe sind NAS-Systeme. Diese Variante ist fortschrittlicher und bietet zusaetzliche Faehigkeiten wie IP- und DNS-Scanning, Command-Execution und interne Netzwerk-Reconnaissance durch Integration von Open-Source-Penetration-Testing-Tools.

Die Go-Variante kann Shell-Befehle sowie Go-, Java- und Python-Quellcode ausfuehren. Allerdings gibt es Einschraenkungen: Die Kompilierung erfordert Laufzeitumgebungen auf dem Host und der Prozess erzeugt Rauschen, das die Tarnung gefaehrden kann.

Wie schuetzen Sie Ihre Netzwerkinfrastruktur?

  1. Veraltete Router ersetzen – D-Link DIR-850L und DIR-818LW sind End-of-Life und erhalten keine Sicherheitsupdates mehr. Ersetzen Sie sie durch aktuell unterstuetzte Modelle.
  2. Firmware aktualisieren – Pruefen Sie fuer alle noch unterstuetzten Router-Modelle, ob die aktuellste Firmware installiert ist.
  3. Standard-Passwort aendern – Aendern Sie das Standard-Admin-Passwort auf allen Netzwerkgeraeten.
  4. Remote-Management deaktivieren – Deaktivieren Sie den Fernzugriff auf die Router-Verwaltungsoberflaeche, wenn er nicht zwingend benoetigt wird.
  5. Netzwerksegmentierung – IoT-Geraete und Router in einem separaten VLAN betreiben.
  6. Traffic-Monitoring – Ueberwachen Sie ungewoehnlichen Traffic von und zu Ihren Routern mit Tools wie Zabbix, Checkmk oder Prometheus.

Passende Anleitungen auf S-EDV

  1. pfSense/OPNsense Firewall-Erstkonfiguration
  2. Zero-Trust-Netzwerksegmentierung mit VLANs und Firewall-Regeln
  3. Checkmk auf Synology fuer IT-Monitoring

Quellen

  1. BleepingComputer: AryStinger botnet infected thousands of D-Link routers worldwide
  2. Qianxin XLab: AryStinger Botnet Analysis
  3. Heise: AryStinger Botnetz infiziert tausende D-Link Router
Verwandt

Weiter lesen

Alle Artikel →
Oracle Free Tier Cloud Ressourcen werden ohne Ankündigung um 50 Prozent reduziert, dargestellt mit Cloud Dashboard, halbierten Compute Memory Storage Anzeigen und deaktivierten Server Instanzen.
23.06.2026 ·4 min

Oracle halbiert Free-Tier-Cloud-Ressourcen ohne Ankündigung

Oracle hat Anfang Juni 2026 die Ressourcen seines Always-Free-Angebots in der Oracle Cloud Infrastructure (OCI) gekürzt. Die Ampere-A1-Compute-Instanzen wurden von 4 OCPUs und 24 GB RAM auf 2 OCPUs und 12 GB RAM halbiert. Die Änderung erfolgte ohne offizielle Ankündigung, Blogpost oder E-Mail-Benachrichtigung. Deutsche IT-Portale haben bislang nicht berichtet – s-edv.com liefert die Erstberichterstattung.
Professionelle IT News Grafik zur LiteSpeed cPanel Plugin Sicherheitslücke CVE-2026-54420 im CISA KEV Kontext. Zu sehen sind ein Hosting Server, ein Plugin Dashboard mit Warnmeldung, ein CISA KEV Advisory Panel und ein Exploit Signal in moderner Cybersecu
17.06.2026 ·4 min

LiteSpeed-cPanel-Plugin: CVE-2026-54420 landet im CISA-KEV-Katalog

CVE-2026-54420 betrifft das LiteSpeed-cPanel-Plugin auf Shared-Hosting-Systemen mit CloudLinux/CageFS. Administratoren sollten Plugin-Versionen und Logspuren prüfen.
Moderne IT-News-Grafik zur geschlossenen und ausgenutzten Cisco SD-WAN-Lücke CVE-2026-20262 mit Router, Sicherheitswarnung, Schutzschild, Update-Hinweis und Netzwerk-Symbolen.
16.06.2026 ·3 min

Cisco schließt ausgenutzte SD-WAN-Lücke CVE-2026-20262

Cisco hat Sicherheitsupdates für Catalyst SD-WAN Manager veröffentlicht. Die aktiv ausgenutzte Lücke CVE-2026-20262 kann zur Ausweitung von Rechten bis Root führen.