Bugs, Nieuws

Duizenden D-Link-routers zijn in handen van het AryStinger-botnet

door Pieter Arntz | 22 juni 2026
D-Link-netwerk
Toevoegen als voorkeursbron op Google

Onderzoekers hebben ontdekt dat het onlangs ontdekte AryStinger-botnet stilletjes duizenden verouderde D-Link-routers en enkele NAS-apparaten (Network-Attached Storage) heeft gekaapt, waardoor deze zijn omgevormd tot een gedistribueerd scan- en proxynetwerk dat aanvallers kunnen gebruiken om hun activiteiten te verbergen en aanvallen op andere doelen uit te voeren. 

Als je apparaten onder controle staan van een botnet, is dat niet alleen een probleem voor de mensen die het doelwit zijn. Het kan ook je eigen privacy en veiligheid in gevaar brengen. 

Het AryStinger-botnet bestaat voornamelijk uit gehackte D-Link DIR-850L- en DIR-818LW-routers. Hoewel deze apparaten al lang niet meer worden ondersteund, worden ze nog steeds op grote schaal gebruikt in woningen en kleine kantoren, waardoor ze aantrekkelijke doelwitten zijn voor botnetbeheerders.

De aanvallers maakten gebruik van kwetsbaarheden die 13 jaar geleden aan het licht waren gekomen om een groot aantal routers te compromitteren. Volgens de onderzoekers:

“Wereldwijd zijn er al minstens 4.300 routers geïnfecteerd, en dat aantal blijft nog steeds stijgen.”

Door zich te richten op routers die niet langer door de fabrikant worden ondersteund, krijgen de aanvallers toegang tot apparaten die nooit meer beveiligingsupdates zullen ontvangen, maar wel verbonden blijven met het internet.

AryStinger verandert elk geïnfecteerd apparaat in wat de onderzoekers een „Executor“ noemen: een op afstand bestuurde node die netwerken kan scannen, als proxy kan fungeren, tunnels kan creëren en opdrachten kan uitvoeren namens de aanvaller.

De beheerder van het botnet verdeelt grote verkenningsopdrachten in talrijke kleinere taken en verdeelt deze over deze Executors, waardoor een vloot van consumentenrouters in feite wordt omgevormd tot een grootschalig scanplatform.

Het belangrijkste doel van het botnet is verkenning op grote schaal. De beheerder kan:

  • Scantaken (voor IP-bereiken, open poorten, DNS-records) parallel naar meerdere Executors doorsturen.
  • Gebruik die resultaten om netwerken in kaart te brengen, nieuwe kwetsbare diensten te identificeren en verdere aanvallen voor te bereiden („footprinting“).

Voor eigenaren van geïnfecteerde apparaten is het vermogen van AryStinger om DNS-instellingen te manipuleren een nog zorgwekkender risico. Hierdoor kunnen aanvallers:

  • Het browserverkeer van slachtoffers omleiden naar phishingpagina’s of websites waarop malware wordt gehost.
  • Controleer in het geheim al het inkomende en uitgaande netwerkverkeer dat via de router of NAS verloopt, en steel dit eventueel.

Dit kan anderszins goed beveiligde apparaten in gevaar brengen. Mobiele telefoons, tablets en laptops die met de gehackte router zijn verbonden, kunnen eveneens worden omgeleid.

Hoe weet je of je hier last van hebt?

Voor eigenaren van een getroffen router of NAS kunnen de directe tekenen subtiel zijn of zelfs helemaal ontbreken. Mogelijke aanwijzingen zijn onder meer:

  • Iets tragere verbinding
  • Af en toe optredende onverklaarbare DNS-storingen of omleidingen
  • Pieken in het uitgaande verkeer op ongebruikelijke tijdstippen

Maar de onderliggende risico’s zijn ernstig genoeg:

  • Privacy:Aanvallers kunnen mogelijk uw verkeer inzien of omleiden, waardoor ze mogelijk gebruikersnamen, wachtwoorden, sessiecookies of andere gevoelige gegevens kunnen onderscheppen.
  • Aansprakelijkheid en reputatie:Uw IP-adres zou kunnen worden gebruikt voor fraude, credential stuffing, intimidatie of andere criminele activiteiten, waardoor u mogelijk de aandacht trekt van dienstverleners of wetshandhavingsinstanties – iets wat we al bij andere proxy-botnets hebben gezien.
  • Doordringen in uw netwerk:Met name op gehackte NAS-apparaten kunnen aanvallers mogelijk interne netwerken in kaart brengen en op zoek gaan naar andere systemen die ze kunnen aanvallen.

Wat te doen

Dit is niet de eerste keer dat aanvallers een botnet hebben opgezet met behulp van afgedankte netwerkapparatuur. Helaas is de meest effectieve oplossing ook de minst populaire: vervang routers en NAS-apparaten die het einde van hun levensduur hebben bereikt.

Als dat op dit moment geen optie is, zijn er een aantal maatregelen die je kunt nemen om je apparaat beter te beveiligen:

  • Installeer de nieuwstebeschikbare firmwarevoor uw apparaat, ook al is het al wat ouder, en bekijk de beveiligingsadviezen van de fabrikant met betrekking tot bekende kwetsbaarheden.
  • Wijzig het standaardbeheerderswachtwoordin een uniek, sterk wachtwoord of een wachtwoordzin; gebruik nooit wachtwoorden die u al voor andere accounts gebruikt.
  • Schakel beheer op afstandvia internet (WAN) uit. Open de beheerdersinterface alleen vanuit uw thuis- of kantoornetwerk.
  • Gebruik WPA2- of WPA3-versleuteling en een sterk wifi-wachtwoord om de kans op lokaal misbruik te verkleinen.
  • Als uw router dit ondersteunt,schakel dan ongebruikte diensten uit, zoals UPnP aan de WAN-zijde of verouderde protocollen voor externe toegang.
  • Voer een antimalwarescan uit op computers en andere apparaten die op de router zijn aangesloten, om te controleren of er apparaten afzonderlijk zijn geïnfecteerd terwijl het verkeer werd gemanipuleerd.

Zelfs als u al deze aanbevelingen opvolgt, moet een router die het einde van zijn levensduur nadert als onbetrouwbaar worden beschouwd. Zorg ervoor dat u deze zo snel mogelijk vervangt.

We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Oplichting
Waarschuwing voicemail

Oplichting met documentbezorging: wat houdt dit in en wat is het doel ervan?

Juni 22, 2026

Een ogenschijnlijk officieel voicemailbericht bleek een oplichterij te zijn. Lees hier hoe oplichting via de bezorging van documenten in zijn werk gaat en wat u moet doen als u hiermee te maken krijgt.

Nieuws
week in veiligheid

Een week in de beveiliging (juni 15 – juni 21)

Juni 22, 2026

Een overzicht van de onderwerpen die we in de week van 15 tot en met 21 juni 2026 hebben behandeld

Nieuws
Arrestatie op afstand SocGolish

Bijna 15.000 geïnfecteerde websites opgeschoond tijdens de actie tegen SocGholish

Juni 19, 2026

Duizenden alledaagse websites zijn opgeschoond in het kader van een wereldwijde operatie gericht tegen het malwarenetwerk dat verantwoordelijk is voor oplichting met valse browserupdates.

Toevoegen als voorkeursbron op Google

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting