全港緊急自查！超4000部Router被殭屍網路感染隨時被黑客攻擊盜取敏感資料【即睇中招型號】

| Fung Chun Man | 22-06-2026 16:15 |

中國資訊安全公司奇安信揭發名為「AryStinger」的全新殭屍網絡活動。黑客利用超過10年以上的資安漏洞，成功綁架全球逾4,000部老舊路由器及NAS裝置以收集情報。受害設備以D-Link特定型號為主，並高度集中於韓國與中國。研究指出該惡意軟件分為C語言與Go語言雙版本，能執行竊密、流量劫持及跳板攻擊，對網絡供應鏈安全構成嚴重威脅。

即刻【按此】，用 App 睇更多產品開箱影片

奇安信揭發 AryStinger 殭屍網絡活動逾四千部老舊路由器遭綁架作情報搜集平台

中國資訊安全公司奇安信（QiAnXin）近日發表最新網絡威脅報告，揭發一個名為「AryStinger」的全新殭屍網絡活動。該網絡旨在將受感染的網絡設備組合成一個具備偵察與攻擊能力的分散式平台，用於入侵受害組織前的初期情報搜集。據報告指出，目前全球已確認遭到綁架的路由器及網絡附接儲存裝置（NAS）數量超過 4,000 部，而此類攻擊行動正專門鎖定已公布超過 10 年以上的資安漏洞，對全球多個地區的網絡供應鏈安全構成嚴重威脅。

受害路由器超四千部

調查顯示，AryStinger 殭屍網絡的主要綁架對象為採用特定舊款晶片的網絡設備，尤其是 2012 年至 2015 年間推出的 RTL819X 系列晶片。由於這類設備普遍面臨過期停產、疏於維護的狀態，黑客將該晶片平台視為辨識老舊路由器的重要指標，藉此大幅提高漏洞利用與惡意程式植入的成功率。

韓國與中國成重災區 D-Link 特定型號佔感染總數逾七成

根據目前統計，奇安信一共同步偵測到 4,371 部受害路由器設備。在地理位置分布方面，受感染設備呈現高度集中趨勢，其中韓國以 48.45% 的佔比位居首位，其次為中國（31.82%）、瑞典（6.40%）、馬來西亞（3.50%）以及新加坡（2.50%）。

在設備型號方面，受害者主要集中在特定廠商的產品。數據顯示，高達 75% 的受感染設備為 D-Link DIR-850L 路由器，另有 13% 為 DIR-818LW。此外，同廠牌的 DIR-816L、DIR-818L、DWR-118 以及 DIR-817LW 等型號亦錄得明確的受感染紀錄。除了 D-Link 產品外，黑客的攻擊目標還延伸至其他品牌的路由器及 NAS 設備。

演進雙版本架構與三大核心網絡安全危害

研究人員指出，AryStinger 惡意軟件在演進過程中發展出兩種架構版本，分別針對不同的環境與設備執行任務：

精簡版與標準版惡意程式技術拆解

精簡版（基於 C 語言開發）： 專門針對採用 RTL819X 晶片的設備，具備 massdns 域名掃描、隧道穿透等網絡功能，並會在受害裝置中部署後門（Dropbear）以維持持久控制。
標準版（Go 語言編寫）： 主要針對 NAS 等設備，具備高擴展性的內網滲透能力（集成了多種滲透工具），支援包括 Go、Java、Python 在內的多種源碼 Payload，且擁有自動升級機制以躲避偵測。

AryStinger 殭屍網絡3大主要威脅

AryStinger 殭屍網絡在成功控制設備後，會對受害組織及網絡環境造成以下三大核心危害：

竊密與情報搜集： 持續監控網絡流量，深度竊取傳輸過程中的敏感資訊。
惡意流量劫持： 篡改域名系統（DNS）設定，強行將用戶的正常瀏覽請求導向黑客操控的惡意網站。
隱匿跳板攻擊： 將受感染的路由器作為後續攻擊行動的跳板，隱藏黑客的真實身份與來源 IP。

利用漏洞攻擊

報告進一步詳細披露了該黑客組織的攻擊時間線與漏洞利用手段。奇安信團隊起初於今年 3 月 12 日捕獲以 C 語言開發的 ELF 惡意程式，該程式利用已知的老舊漏洞 CVE-2013-3307 與 CVE-2016-5681（CVSS 風險評分分別高達 8.3 與 9.8 分）攻擊 Linksys 與 D-Link 路由器。當研究人員將該 ELF 檔案上傳至 VirusTotal 檢測平台時，初期結果顯示沒有任何防毒引擎將其識別為有害，反映出該威脅具備極高隱蔽性。

從 C 語言到 Go 語言的跨平台攻擊策略

時隔一個月後，研究人員於 4月 26 日發現了經由 Go 語言全新改寫的 AryStinger 標準版。在此階段，黑客將攻擊箭頭大幅度轉移至 NAS 儲存設備，並利用了威聯通（QNAP）於去年修補的高危資安漏洞 CVE-2025-11837（CVSS 風險評分達 9.8 分）。這表明攻擊者並非僅針對特定晶片的單一漏洞，而是將老舊、缺乏維護的基礎設施視為突破口，實施跨平台的網絡滲透行動。