Fehler, Neuigkeiten

Tausende D-Link-Router unter der Kontrolle des AryStinger-Botnetzes

von Pieter Arntz | 22. Juni 2026
D-Link-Netzwerk
Als bevorzugte Quelle bei Google hinzufügen

Forscher haben herausgefunden, dass das kürzlich entdeckte AryStinger-Botnetz unbemerkt Tausende von D-Link-Routern, deren Lebensdauer abgelaufen ist, sowie einige NAS-Geräte (Network-Attached Storage) gekapert und sie in ein verteiltes Scan- und Proxy-Netzwerk verwandelt hat, das Angreifer nutzen können, um ihre Aktivitäten zu verschleiern und Angriffe auf andere Ziele zu starten. 

Wenn Ihre Geräte von einem Botnetz kontrolliert werden, ist das nicht nur ein Problem für die Betroffenen. Es kann auch Ihre eigene Privatsphäre und Sicherheit gefährden. 

Das AryStinger-Botnetz basiert hauptsächlich auf kompromittierten D-Link-Routern der Modelle DIR-850L und DIR-818LW. Obwohl diese Geräte schon lange nicht mehr hergestellt werden, sind sie in Privathaushalten und kleinen Büros nach wie vor weit verbreitet, was sie zu attraktiven Zielen für Botnetzbetreiber macht.

Die Angreifer nutzten Sicherheitslücken aus, die bereits vor 13 Jahren bekannt geworden waren, um eine große Anzahl von Routern zu kompromittieren. Den Forschern zufolge:

„Weltweit sind bereits mindestens 4.300 Router infiziert, und die Zahl steigt weiterhin stetig an.“

Indem sie Router ins Visier nehmen, die vom Hersteller nicht mehr unterstützt werden, verschaffen sich die Angreifer Zugriff auf Geräte, für die niemals Sicherheitspatches veröffentlicht werden, die aber weiterhin mit dem Internet verbunden bleiben.

AryStinger verwandelt jedes infizierte Gerät in das, was die Forscher als „Executor“ bezeichnen: einen ferngesteuerten Knoten, der Netzwerke scannen, als Proxy fungieren, Tunnel erstellen und im Auftrag des Angreifers Befehle ausführen kann.

Der Controller des Botnetzes unterteilt umfangreiche Erkundungsaufgaben in viele kleinere Aufgaben und verteilt diese auf die verschiedenen „Executors“, wodurch eine Flotte von Consumer-Routern effektiv zu einer groß angelegten Scan-Plattform wird.

Der Hauptzweck des Botnetzes ist die groß angelegte Aufklärung. Der Controller kann:

  • Scan-Aufträge (für IP-Bereiche, offene Ports, DNS-Einträge) parallel an viele Executors weiterleiten.
  • Nutzen Sie diese Ergebnisse, um Netzwerke abzubilden, neue anfällige Dienste zu identifizieren und weitere Angriffe vorzubereiten („Footprinting“).

Für Besitzer infizierter Geräte ist die Fähigkeit von AryStinger, DNS-Einstellungen zu manipulieren, besonders besorgniserregend. Dies ermöglicht es Angreifern:

  • Den Browser-Datenverkehr der Opfer auf Phishing-Seiten oder Websites, die Malware hosten, umleiten.
  • Den gesamten ein- und ausgehenden Netzwerkverkehr, der über den Router oder das NAS läuft, unbemerkt überwachen und möglicherweise abfangen.

Dadurch können auch ansonsten gut geschützte Geräte gefährdet werden. Auch Mobiltelefone, Tablets und Laptops, die mit dem kompromittierten Router verbunden sind, können umgeleitet werden.

So erkennen Sie, ob Sie betroffen sind

Für Besitzer eines betroffenen Routers oder NAS können die unmittelbaren Anzeichen zunächst kaum wahrnehmbar sein oder gar nicht auftreten. Mögliche Anzeichen könnten sein:

  • Etwas langsamere Internetverbindung
  • Gelegentliche, unerklärliche DNS-Ausfälle oder Weiterleitungen
  • Spitzen im ausgehenden Datenverkehr zu ungewöhnlichen Zeiten

Doch die damit verbundenen Risiken sind ernst genug:

  • Privacy:Angreifer könnten Ihren Datenverkehr einsehen oder umleiten und dabei möglicherweise Benutzernamen, Passwörter, Sitzungs-Cookies oder andere sensible Daten abfangen.
  • Haftung und Ruf:Ihre IP-Adresse könnte für Betrug, Credential-Stuffing, Belästigung oder andere kriminelle Aktivitäten missbraucht werden, was möglicherweise die Aufmerksamkeit von Dienstanbietern oder Strafverfolgungsbehörden auf sich ziehen könnte – ein Phänomen, das bereits bei anderen Proxy-Botnetzen beobachtet wurde.
  • Eindringen in Ihr Netzwerk:Insbesondere bei kompromittierten NAS-Geräten können Angreifer möglicherweise interne Netzwerke kartieren und nach weiteren Systemen suchen, die sie angreifen können.

Was tun?

Es ist nicht das erste Mal, dass Angreifer aus ausrangierten Netzwerkgeräten ein Botnetz aufbauen. Leider ist die wirksamste Lösung zugleich auch die unbeliebteste: Router und NAS-Geräte, deren Lebensdauer abgelaufen ist, sollten ausgetauscht werden.

Falls dies derzeit nicht möglich ist, gibt es einige Maßnahmen, mit denen Sie Ihr Gerät besser vor Angriffen schützen können:

  • Installieren Sie die neuestefür Ihr Gerät verfügbare Firmware, auch wenn es sich um ein älteres Modell handelt, und lesen Sie alle Sicherheitshinweise des Herstellers zu bekannten Sicherheitslücken durch.
  • Ändern Sie das Standard-Administratorpasswortin ein einzigartiges, sicheres Passwort oder eine Passphrase; verwenden Sie niemals Passwörter aus anderen Konten erneut.
  • Deaktivieren Sie die Fernverwaltungüber das Internet (WAN). Greifen Sie nur von Ihrem Heim- oder Büronetzwerk aus auf die Admin-Oberfläche zu.
  • Verwenden Siedie WLAN-Verschlüsselung WPA2 oder WPA3sowie ein sicheres WLAN-Passwort, um das Risiko eines lokalen Missbrauchs zu verringern.
  • Sofern Ihr Router dies unterstützt,deaktivieren Sie nicht genutzte Dienstewie UPnP auf der WAN-Seite oder veraltete Fernzugriffsprotokolle.
  • Führen Sie einen Anti-Malware-Scan auf Computern und anderen Geräten, die mit dem Router verbunden sind, um zu überprüfen, ob einzelne Geräte während der Manipulation des Datenverkehrs separat infiziert wurden.

Selbst wenn Sie alle diese Empfehlungen befolgen, sollte ein Router, dessen Lebensdauer sich dem Ende zuneigt, als nicht vertrauenswürdig angesehen werden. Planen Sie daher, ihn so bald wie möglich zu ersetzen.

Wir berichten nicht nur über Bedrohungen - wir beseitigen sie

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.

Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

Betrug
Voicemail-Warnung

Betrugsmaschen im Zusammenhang mit der Dokumentenlieferung: Was ist das und was ist ihr Ziel?

Juni 22, 2026

Eine scheinbar offizielle Voicemail-Nachricht entpuppte sich als Betrugsversuch. Erfahren Sie, wie Betrugsmaschen im Zusammenhang mit Dokumentenzustellungen funktionieren und was Sie tun können, wenn Sie eine solche Nachricht erhalten.

Nachrichten
Woche der Sicherheit

Eine Woche im Bereich Sicherheit ( 15 Juni – 21 Juni)

Juni 22, 2026

Eine Liste der Themen, die wir in der Woche vom 15. bis zum 21. Juni 2026 behandelt haben

Nachrichten
Fernabschaltung SocGolish

Im Rahmen der „SocGholish“-Aktion wurden fast 15.000 infizierte Websites bereinigt

Juni 19, 2026

Im Rahmen einer weltweiten Aktion gegen das Malware-Netzwerk, das hinter Betrugsmaschen mit gefälschten Browser-Updates steckt, wurden Tausende von alltäglichen Websites bereinigt.

Als bevorzugte Quelle bei Google hinzufügen

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug