
屋企或者公司部舊 Router 用咗好多年都懶得換?小心已經變咗黑客嘅秘密基地!中國資安公司奇安信近日發表最新網絡威脅報告,驚爆名為AryStinger的全新殭屍網絡正在全球大舉肆虐,已有超過 4,300 部老舊路由器及 NAS 遭到綁架。當中以 D-Link 特定型號(如 DIR-850L)最為高危,中招率高達七成以上!黑客利用長達 10 年以上的D-Link 漏洞進行流量竊密與 DNS 劫持。即睇 ezone.hk 的路由器中毒檢查自保與排查指南,加碼附上ezone編輯部獨家防滲透建議,費事部舊機默默幫黑客做壞事!
即刻【按此】,用 App 睇更多產品開箱影片
AryStinger 殭屍網絡大舉入侵!全球逾四千部舊路由器、NAS 淪為黑客間諜跳板 附自查 IOC 貼士
不少香港打工仔與車主在安裝家用或辦公室路由器(Router)後,往往抱持著「只要網速正常,就一輩子不用去理它」的心態,更遑論定期登入後台更新韌體(Firmware)。然而,這種對舊硬件的「放任」,正將你全家的網銀密碼、商業機密置於極度危險的境地。
中國資訊安全公司奇安信(QiAnXin)旗下的 XLab 團隊近日發表最新網絡威脅報告,揭發了一個名為 「AryStinger」 的全新殭屍網絡活動。該黑客組織旨在將全球大量受感染的網絡設備組合成一個分散式間諜平台,專門利用已公布超過 10 年以上的資安漏洞,對全球多個地區的網絡供應鏈安全構成嚴重威脅!
專挑老舊晶片下手:AryStinger 全球受災地圖與高危設備一覽
調查顯示,AryStinger 殭屍網絡的主要綁架對象為採用特定舊款晶片的網絡設備,尤其是 2012 年至 2015 年間推出的 Realtek RTL819X 系列晶片。由於這類設備普遍面臨官方過期停產(EOL)、用戶疏於維護的狀態,黑客將該晶片平台視為「肥羊」,藉此大幅提高惡意程式植入的成功率。
目前全球已確認遭到綁架的路由器及網絡附接儲存裝置(NAS)數量高達 4,371 部,並呈現出極高的集中趨勢:
1. 地理位置受災佔比
南韓: 48.45%(重災區首位)
中國內地: 31.82%
瑞典: 6.40%
馬來西亞: 3.50%
新加坡: 2.50%
韓國與中國成重災區 D-Link 特定型號佔感染總數逾七成
根據目前統計,奇安信一共同步偵測到 4,371 部受害路由器設備。在地理位置分布方面,受感染設備呈現高度集中趨勢,其中韓國以 48.45% 的佔比位居首位,其次為中國(31.82%)、瑞典(6.40%)、馬來西亞(3.50%)以及新加坡(2.50%)。
2. 高危受害設備型號對照表
數據顯示,高達 75% 的受感染設備為 D-Link DIR-850L 路由器,其餘參測同廠型號亦錄得明確紀錄:
| 廠商品牌 | 受影響核心設備型號 | 惡意感染總數估計佔比 |
| D-Link | DIR-850L | ⚠️ 75% (全場最高危) |
| D-Link | DIR-818LW | 13% |
| D-Link | DIR-816L、DIR-818L、DWR-118、DIR-817LW | 錄得明確受感紀錄 |
| Linksys | 部分採用同款舊晶片之路由器型號 | 已被納入黑客攻擊鏈 |
| QNAP | 搭載嵌入式 Linux 的特定老舊 NAS 設備 | 淪為 Go 語言版攻擊目標 |
在設備型號方面,受害者主要集中在特定廠商的產品。數據顯示,高達 75% 的受感染設備為 D-Link DIR-850L 路由器,另有 13% 為 DIR-818LW。此外,同廠牌的 DIR-816L、DIR-818L、DWR-118 以及 DIR-817LW 等型號亦錄得明確的受感染紀錄。除了 D-Link 產品外,黑客的攻擊目標還延伸至其他品牌的路由器及 NAS 設備。
演進雙版本架構:AryStinger 的 3 大核心網絡安全危害
研究人員指出,AryStinger 惡意軟件在演進過程中發展出兩種架構版本,採取靈活的跨平台攻擊策略:
精簡版與標準版惡意程式技術拆解
精簡版(基於 C 語言開發): 專門針對採用 RTL819X 晶片的設備,具備 massdns 域名掃描、隧道穿透等網絡功能,並會在受害裝置中部署後門(Dropbear)以維持持久控制。
標準版(Go 語言編寫): 主要針對 NAS 等設備,具備高擴展性的內網滲透能力(集成了多種滲透工具),支援包括 Go、Java、Python 在內的多種源碼 Payload,且擁有自動升級機制以躲避偵測。
殭屍網絡成功控制設備後,會觸發以下 3 大致命威脅:
AryStinger 殭屍網絡在成功控制設備後,會對受害組織及網絡環境造成以下三大核心危害:
竊密與情報搜集: 持續監控網絡流量,深度竊取傳輸過程中的敏感資訊。
惡意流量劫持: 篡改域名系統(DNS)設定,強行將用戶的正常瀏覽請求導向黑客操控的惡意網站。
隱匿跳板攻擊: 將受感染的路由器作為後續攻擊行動的跳板,隱藏黑客的真實身份與來源 IP。
利用漏洞攻擊
報告進一步詳細披露了該黑客組織的攻擊時間線與漏洞利用手段。奇安信團隊起初於今年 3 月 12 日捕獲以 C 語言開發的 ELF 惡意程式,該程式利用已知的老舊漏洞 CVE-2013-3307 與 CVE-2016-5681(CVSS 風險評分分別高達 8.3 與 9.8 分)攻擊 Linksys 與 D-Link 路由器。當研究人員將該 ELF 檔案上傳至 VirusTotal 檢測平台時,初期結果顯示沒有任何防毒引擎將其識別為有害,反映出該威脅具備極高隱蔽性。
從 C 語言到 Go 語言的跨平台攻擊策略
時隔一個月後,研究人員於 4月 26 日發現了經由 Go 語言全新改寫的 AryStinger 標準版。在此階段,黑客將攻擊箭頭大幅度轉移至 NAS 儲存設備,並利用了威聯通(QNAP)於去年修補的高危資安漏洞 CVE-2025-11837(CVSS 風險評分達 9.8 分)。這表明攻擊者並非僅針對特定晶片的單一漏洞,而是將老舊、缺乏維護的基礎設施視為突破口,實施跨平台的網絡滲透行動。
網絡安全自查:3 步排查設備是否中招?
網絡管理員與用戶可透過以下三個技術指標(IOCs)進行設備排查:
- 網絡通信檢查: 監控設備的外部連線流量,核對是否存在異常的已知 IOC 惡意域名。
- 設備文件檢查: 檢查路由器系統內部路徑,重點排查
/tmp/bin目錄下是否存在未授權的二進制執行檔。 - 惡意進程排查: 檢查系統當前運行的進程列表,確認是否出現名為
syswapd0h或syswapd0w的異常惡意進程。
最有效網絡安全防護措施
由於 AryStinger 主要利用已停止技術支援的老舊漏洞進行攻擊,最根本且有效的防護手段是及時汰換已過期、過保且不再提供安全補丁的路由器設備。對於暫時無法更換的設備,應立即關閉遠端管理功能(WAN 端訪問),限制內網存取權限,並密切監控異常流量,以防範設備被黑客吸納為殭屍網絡的一部分。
ezone編輯部點評
如果你發現家中的網速最近莫名其妙變得極慢,重啟 Router 後好了一陣子,沒過多久又開始 Lag 機,這很有可能不是寬頻公司(如 HKBN、Netvigator)的問題,而是部舊 Router 已經被黑客吸納進了 AryStinger 殭屍網絡,正在後台沒日沒夜地幫黑客做海量掃描(Parallel Footprinting),把你的上載頻寬全部分散耗盡了!
面對這種情況,最強力的主動防禦絕不是改密碼,而是徹底將該部舊機淘汰,換一部支援最新 WPA3 加密與具備持續安全維護的全新 Wi-Fi 7 / Wi-Fi 6 路由器,才能從根源上切斷黑客的突破口!
常見問題解答
Q1: 如果我的 D-Link 路由器開了內置的防火牆,黑客還能透過 AryStinger 殭屍網絡駭入嗎?
A1: 依然有可能。因為這次發現的 AryStinger 攻擊鏈是直接利用了系統底層的「未授權遠端代碼執行漏洞」(如 CVE-2016-5681)。這類漏洞的恐怖之處在於,黑客不需要知道你的路由器管理員帳號或 Wi-Fi 密碼,就能繞過常規的身份驗證,直接將惡意程式碼注入到路由器的系統內核中。因此,光靠開啟普通防火牆是無法抵禦這種底層漏洞攻擊的。
Q2: QNAP 的 NAS 設備不是安全性很高嗎?點解這次也會成為 Go 語言版本的受害者?
A2: 任何作業系統都不可能存在絕對的完美。黑客這次在第二階段(4月26日發現)利用的是去年才被揭發的高危資安漏洞 CVE-2025-11837。QNAP 官方雖然已經在去年第一時間釋出了安全補丁,但如果用家在過去一年內都沒有登入過 NAS 的後台去點擊「QTS 系統更新」,你的設備就會一直處於「裸奔」狀態。強烈建議 NAS 用家立刻進入系統更新頁面,確保補丁已成功安裝。
Q3: 換新路由器時,有甚麼規格或功能是可以主動防範未來再次被納入殭屍網絡的?
A3: 選購新流動或家用路由器時,除了看重 Wi-Fi 速度外,建議優先挑選具備以下兩大安全防線的牌子(如 ASUS 的 AiProtection 或 Netgear 的 Armor):第一,支援自動系統韌體更新(Auto-Update),讓設備能在半夜自動修補最新漏洞;第二,內置與知名資安大廠(如 Trend Micro)合作的路由器級防毒/防網絡入侵系統。這樣一來,即使未來出現了新的未明漏洞,路由器的防線也能在第一時間進行惡意流量攔截,保障全家網絡安全。
Source: ezone.hk、TheHackerNews
【相關報道】
【相關話題】唔好貪方便!「透過 Google 登入」暗藏風險 專家:隨時變成黑客目標 【附安全登入正確方法】
資深科技記者指出,利用「透過 Google 登入」第三方應用程式雖便利,卻隱藏單一故障點風險。一旦帳號遭停權或駭客以 AiTM 技術竊取憑證,關聯服務將全面癱瘓。此外,相關數據亦會被用於行為建模。專家建議改用獨立帳號配搭密碼管理員,以分散數位資產風險。
Source: ezone.hk
