สรุปสั้น
นักวิจัยจาก XLab ของบริษัท QiAnXin ค้นพบมัลแวร์ตระกูลใหม่ชื่อ AryStinger ที่กำลังเปลี่ยนเราเตอร์ตามบ้านที่ถูกลืมให้กลายเป็นเครือข่ายสอดแนมและพร็อกซีแบบกระจาย ซึ่งแตกต่างจากบอตเน็ต DDoS ที่อุปกรณ์เหล่านี้มักถูกนำไปใช้ จุดที่น่ากังวลคือ AryStinger ออกแบบมาสำหรับขั้นตอนก่อนการเจาะระบบ โดยอุปกรณ์ที่ติดมัลแวร์จะสแกนอินเทอร์เน็ต ฟิงเกอร์พรินต์บริการต่าง ๆ ค้นหาซับโดเมน อุโมงค์ส่งต่อทราฟฟิก และรันคำสั่งตามที่ผู้โจมตีสั่ง แล้วส่งผลลัพธ์กลับไป เราเตอร์แต่ละตัวจึงกลายเป็นทั้งจุดเก็บข้อมูลและรีเลย์ที่ซ่อนตำแหน่งที่แท้จริงของผู้โจมตี
XLab ระบุว่าพบเราเตอร์ติดมัลแวร์อย่างน้อย 4,300 ตัวและตัวเลขยังเพิ่มขึ้น แคมเปญนี้พุ่งเป้าไปที่เราเตอร์ที่ใช้ชิป Realtek RTL819X ซึ่งเป็นฮาร์ดแวร์ยุคปี 2012-2015 โดยใช้ช่องโหว่เก่าอย่าง CVE-2013-3307 ในรุ่น Linksys และ CVE-2016-5681 ในรุ่น D-Link ส่วนใหญ่เป็นอุปกรณ์ D-Link โดยรุ่น DIR-850L เพียงรุ่นเดียวคิดเป็นราว 75% ของทั้งหมด เมื่อแยกตามภูมิภาคพบมากที่สุดในเกาหลีใต้ (ราว 48%) และจีน (ราว 32%) ตามด้วยสวีเดน มาเลเซีย และสิงคโปร์ นอกจากนี้ยังมีอีกสายพันธุ์ที่โจมตี QNAP NAS ผ่าน CVE-2025-11837
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 22 มิถุนายน พ.ศ. 2569 ว่านักวิจัยจาก XLab ของบริษัท QiAnXin ได้เปิดเผยมัลแวร์ใหม่ชื่อ AryStinger ที่สร้างเครือข่ายสอดแนมและรีเลย์จากเราเตอร์เก่า โดย XLab พบมัลแวร์นี้ครั้งแรกเมื่อวันที่ 12 มีนาคม 2026 ซึ่งแพร่กระจายจาก IP เดียวคือ 107.150.106.14 ไฟล์ที่ถูกส่งออกมาเป็น Linux ELF ที่ไม่มีเครื่องมือใดบน VirusTotal ตรวจจับได้ในขณะนั้น
AryStinger มีอยู่สองบิลด์ที่ทำงานเหมือนกันแต่ต่างความสามารถ บิลด์สำหรับเราเตอร์เขียนด้วยภาษา C และทำให้เบาที่สุดเพราะฮาร์ดแวร์เก่ารองรับได้จำกัด จึงเน้นการสแกน DNS จำนวนมากและการอุโมงค์ทราฟฟิก ส่วนบิลด์สำหรับ NAS เขียนด้วยภาษา Go และทำได้มากกว่า ทั้งสแกนเครือข่ายภายในและภายนอก และรันเครื่องมือสอดแนมอย่าง fscan, ksubdomain และ httpx โดยมีงานที่เรียกว่า “ScriptWork” ที่สามารถรันซอร์สโค้ด Go, Java หรือ Python ที่ผู้โจมตีส่งมาบนเครื่องได้โดยตรง ทำให้ผู้โจมตีไม่ต้องคอมไพล์ไบนารีสำหรับแต่ละเป้าหมาย
สายพันธุ์ที่สองปรากฏเมื่อวันที่ 26 เมษายน 2026 มุ่งเป้าไปที่กล่อง QNAP NAS ผ่าน CVE-2025-11837 ซึ่งเป็นช่องโหว่ code injection ในเครื่องมือ Malware Remover ของ QNAP เอง ช่องโหว่นี้ถูกสาธิตในงาน Pwn2Own Ireland 2025 และได้รับการแพตช์ไปแล้วในเดือนพฤศจิกายน 2025 หลายเดือนก่อนที่สายพันธุ์นี้จะเริ่มใช้งาน โดยช่องทางเข้าคือเครื่องมือกำจัดมัลแวร์ของตัวอุปกรณ์เอง ทั้งนี้ XLab ยังไม่ได้วัดจำนวนการติดมัลแวร์ในกลุ่ม NAS ดังนั้นตัวเลข 4,300 จึงครอบคลุมเฉพาะเราเตอร์ RTL819X เท่านั้น
วิธีการโจมตี
แต่ละโหนดที่ติดมัลแวร์ ซึ่ง XLab เรียกว่า Executor จะสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) ผ่าน HTTP/HTTPS โดยทราฟฟิกถูกเข้ารหัสด้วย Protobuf และอำพรางด้วย XOR แบบง่าย (บิลด์ Go เพิ่ม gzip) ผู้โจมตีจะแบ่งงานสแกนขนาดใหญ่ออกเป็นชิ้น ๆ แล้วกระจายไปทั่วฟลีตอุปกรณ์เพื่อเก็บข้อมูลแบบขนาน XLab ระบุว่าการสแกน DNS เดียวกันนี้สามารถเล็งไปที่ resolver เพื่อสร้างทราฟฟิก DoS ได้
การคงอยู่ในระบบมาจากเซิร์ฟเวอร์ Dropbear SSH บนพอร์ตคงที่ — พอร์ต 2332 บนเราเตอร์ หรือ gs-netcat บน NAS — โดยมีคีย์ฮาร์ดโค้ด sh_#@!_2024_secret ที่มีเลข “2024” ซึ่งอาจบ่งชี้ว่าเริ่มต้นในปี 2024 แม้ XLab ยังยืนยันไม่ได้ รูปแบบนี้คล้ายกับเครือข่าย operational relay box (ORB) ที่ Mandiant เคยติดตาม ซึ่งเป็นเครือข่ายของเราเตอร์และอุปกรณ์ IoT หมดอายุที่ถูกเจาะ และถูกผู้โจมตีระดับรัฐใช้สแกนและรีเลย์เพื่อให้ตามรอยได้ยาก คล้ายกับ ORB อย่าง LapDogs ที่เก็บเกี่ยวอุปกรณ์ผ่านช่องโหว่ n-day เช่นเดียวกับ AryStinger ปัจจุบัน AryStinger ยังไม่ถูกเชื่อมโยงกับกลุ่มใด และ XLab ยังคงสืบหาผู้อยู่เบื้องหลัง
ผลกระทบต่อไทย
แม้รายการประเทศที่ได้รับผลกระทบมากที่สุดจะเป็นเกาหลีใต้และจีน แต่สิงคโปร์และมาเลเซียซึ่งเป็นเพื่อนบ้านในอาเซียนติดอันดับด้วย แสดงว่าภูมิภาคนี้อยู่ในขอบเขตการแพร่กระจาย เราเตอร์ D-Link โดยเฉพาะรุ่น DIR-850L และอุปกรณ์ที่ใช้ชิป Realtek RTL819X เป็นฮาร์ดแวร์ที่แพร่หลายในไทยทั้งตามบ้านและสำนักงานขนาดเล็ก อุปกรณ์เหล่านี้ส่วนใหญ่หมดการสนับสนุนเฟิร์มแวร์ไปแล้ว ทำให้ไม่มีแพตช์ปิดช่องโหว่เก่าที่ AryStinger ใช้ นอกจากนี้กล่อง QNAP NAS ก็เป็นที่นิยมในองค์กรไทยสำหรับจัดเก็บข้อมูล หากถูกเปลี่ยนเป็นโหนดสอดแนม องค์กรอาจกลายเป็นฐานปฏิบัติการให้ผู้โจมตีโดยไม่รู้ตัว และเสี่ยงถูกใช้เป็นทางผ่านในการโจมตีเป้าหมายอื่น
คำแนะนำ
ผู้ที่ใช้อุปกรณ์ที่ได้รับผลกระทบควรตรวจสอบการเชื่อมต่อขาออกไปยังโดเมน C2 และดาวน์โหลดของ AryStinger (เช่น ajb8.com และโฮสต์ที่เกี่ยวข้องในรายการ IOC ของ XLab) ตรวจดูไฟล์แปลกปลอมในไดเรกทอรี /tmp/bin และค้นหาโปรเซสชื่อ syswapd0h หรือ syswapd0w สำหรับ QNAP NAS ควรอัปเดต Malware Remover ให้เป็นเวอร์ชันที่แพตช์ CVE-2025-11837 แล้ว วิธีแก้ที่ยั่งยืนที่สุดคือปลดระวางเราเตอร์ที่หมดอายุและไม่ได้รับเฟิร์มแวร์อีกต่อไป และปิดการดูแลระบบจากระยะไกล (remote administration) บนอุปกรณ์ทุกตัวที่เปิดสู่อินเทอร์เน็ต อุปกรณ์ที่หยุดรับแพตช์ตั้งแต่ปี 2016 จะไม่มีทางได้รับการแก้ไขอีก
Indicators of Compromise (IoCs)
| ประเภท | Indicator | คำอธิบาย |
|---|---|---|
| IPv4 | 107.150.106[.]14 | IP ต้นทางแพร่กระจาย AryStinger ครั้งแรก |
| Domain | ajb8[.]com | โดเมน C2 / ดาวน์โหลด |
| CVE | CVE-2013-3307 | ช่องโหว่เราเตอร์ Linksys |
| CVE | CVE-2016-5681 | ช่องโหว่เราเตอร์ D-Link |
| CVE | CVE-2025-11837 | ช่องโหว่ code injection ใน QNAP Malware Remover |
| Process | syswapd0h, syswapd0w | ชื่อโปรเซสมัลแวร์ |
| Path | /tmp/bin | ตำแหน่งไบนารีมัลแวร์ |
| Port | 2332 (Dropbear SSH) | พอร์ตคงอยู่บนเราเตอร์ |
หมายเหตุ: IP และโดเมนถูก defang แล้ว (เช่น [.]) เพื่อป้องกันการเชื่อมโยงโดยไม่ตั้งใจ
