Bug, Notizie

Migliaia di router D-Link sotto il controllo della botnet AryStinger

di Pieter Arntz | 22 giugno 2026
Rete D-Link
Aggiungi come fonte preferita su Google

I ricercatori hanno scoperto che la botnet AryStinger, individuata di recente, ha silenziosamente preso il controllo di migliaia di router D-Link fuori produzione e di alcuni dispositivi NAS (Network-Attached Storage), trasformandoli in una rete distribuita di scansione e proxy che gli hacker possono utilizzare per nascondere le proprie attività e sferrare attacchi contro altri obiettivi. 

Il fatto che i propri dispositivi siano controllati da una botnet non è solo un problema per le persone prese di mira. Può mettere a rischio anche la propria privacy e sicurezza. 

La botnet AryStinger è costituita principalmente da router D-Link DIR-850L e DIR-818LW compromessi. Sebbene questi dispositivi abbiano superato da tempo la fine del ciclo di vita, sono ancora ampiamente utilizzati nelle abitazioni e nei piccoli uffici, il che li rende obiettivi allettanti per gli operatori di botnet.

Gli autori dell'attacco hanno sfruttato delle vulnerabilità rese note 13 anni fa per compromettere un gran numero di router. Secondo i ricercatori:

«Almeno 4.300 router in tutto il mondo sono già stati infettati, e il numero continua a crescere.»

Prendendo di mira i router che non sono più supportati dal produttore, gli hacker ottengono l'accesso a dispositivi che non riceveranno mai aggiornamenti di sicurezza, ma che rimangono comunque connessi a Internet.

AryStinger trasforma ogni dispositivo infettato in quello che i ricercatori definiscono un “Executor”: un nodo controllato da remoto in grado di eseguire scansioni delle reti, fungere da proxy, creare tunnel ed eseguire comandi per conto dell’autore dell’attacco.

Il controllore della botnet suddivide le operazioni di ricognizione di ampia portata in numerose attività più piccole e le distribuisce tra questi “Executor”, trasformando di fatto una flotta di router domestici in una piattaforma di scansione su larga scala.

Lo scopo principale della botnet è la ricognizione su larga scala. Il controller è in grado di:

  • Inviare i processi di scansione (per intervalli IP, porte aperte, record DNS) a più Executor in parallelo.
  • Utilizzare tali risultati per mappare le reti, identificare nuovi servizi vulnerabili e preparare ulteriori attacchi (“footprinting”).

Per i proprietari dei dispositivi infetti, una funzionalità ancora più preoccupante è la capacità di AryStinger di manomettere le impostazioni DNS. Ciò consente agli aggressori di:

  • Reindirizzare il traffico web delle vittime verso pagine di phishing o siti che ospitano malware.
  • Monitorare in modo invisibile e, eventualmente, intercettare tutto il traffico di rete in entrata e in uscita che transita attraverso il router o il NAS.

Ciò può mettere a rischio dispositivi altrimenti ben protetti. Anche i telefoni cellulari, i tablet e i computer portatili collegati al router compromesso possono essere reindirizzati.

Come capire se sei coinvolto

Per i possessori di un router o di un NAS interessato dal problema, i segnali immediati potrebbero essere impercettibili o addirittura assenti. Tra i possibili indicatori potrebbero esserci:

  • Connessione leggermente più lenta
  • Occasionali malfunzionamenti o reindirizzamenti del DNS di origine sconosciuta
  • Picchi di traffico in uscita in orari insoliti

Ma i rischi sottostanti sono già di per sé abbastanza gravi:

  • Privacy:gli hacker potrebbero essere in grado di ispezionare o reindirizzare il traffico dell'utente, acquisendo potenzialmente nomi utente, password, cookie di sessione o altri dati sensibili.
  • Responsabilità e reputazione:il tuo indirizzo IP potrebbe essere utilizzato per frodi, attacchi di tipo “credential stuffing”, molestie o altre attività criminali, attirando potenzialmente l’attenzione dei fornitori di servizi o delle forze dell’ordine — un fenomeno già osservato in altre botnet basate su proxy.
  • Espansione all’interno della rete:soprattutto sui dispositivi NAS compromessi, gli aggressori potrebbero essere in grado di mappare le reti interne e individuare altri sistemi da attaccare.

Cosa fare

Non è la prima volta che gli hacker creano una botnet utilizzando apparecchiature di rete abbandonate. Purtroppo, la soluzione più efficace è anche quella meno diffusa: sostituire i router e i dispositivi NAS giunti a fine vita.

Se questa non è un'opzione immediatamente praticabile, ci sono alcune misure che puoi adottare per rendere il tuo dispositivo più difficile da compromettere:

  • Installa l'ultima versione del firmwaredisponibile per il tuo dispositivo, anche se è datata, e consulta gli avvisi di sicurezza del produttore relativi alle vulnerabilità note.
  • Modificare la password predefinita dell'amministratoresostituendola con una password o una frase di accesso unica e complessa; non riutilizzare mai le password di altri account.
  • Disattiva la gestione remotada Internet (WAN). Accedi all'interfaccia di amministrazione solo dall'interno della rete di casa o dell'ufficio.
  • Utilizzala crittografia wireless WPA2 o WPA3e una password Wi-Fi complessa per ridurre il rischio di abusi in rete locale.
  • Se il router lo supporta,disattiva i servizi non utilizzati, come l'UPnP sul lato WAN o i protocolli di accesso remoto obsoleti.
  • Esegui una scansione anti-malware sui computer e sugli altri dispositivi collegati al router per verificare se qualcuno di essi sia stato infettato separatamente mentre il traffico veniva manomesso.

Anche se si seguono tutte queste raccomandazioni, un router giunto a fine vita dovrebbe essere considerato non affidabile. È opportuno pianificarne la sostituzione il prima possibile.

Non ci limitiamo a segnalare le minacce, ma le eliminiamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Truffe
Avviso relativo alla segreteria telefonica

Truffe relative alla consegna di documenti: cosa sono e qual è il loro obiettivo?

Giugno 22, 2026

Un messaggio vocale che sembrava ufficiale si è rivelato una truffa. Scopri come funzionano le truffe relative alla consegna di documenti e cosa fare se ne ricevi una.

Notizie
Settimana della sicurezza

Una settimana nel mondo della sicurezza ( 15 al 21 di giugno)

Giugno 22, 2026

Elenco degli argomenti trattati nella settimana dal 15 al 21 giugno 2026

Notizie
Arresto a distanza SocGolish

Quasi 15.000 siti web infetti ripuliti nell'operazione di repressione contro SocGholish

Giugno 19, 2026

Migliaia di siti web di uso quotidiano sono stati ripuliti nell’ambito di un’operazione globale volta a smantellare la rete di malware responsabile delle truffe basate su falsi aggiornamenti del browser.

Aggiungi come fonte preferita su Google

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe