Nach Erkenntnissen von Qianxin XLab setzt AryStinger auf eine verteilte Struktur. Die kompromittierten Geräte fungieren als ferngesteuerte Knoten, die einzelne Teilaufgaben übernehmen. Wie die Forscher erläutern, kann ein Angreifer große Scan-Aufträge in viele kleine Abschnitte zerlegen und diese parallel an verschiedene „Ausführer“ verteilen. Das erleichtert laut XLab insbesondere frühe Aufklärungs- und Erkundungsaktivitäten vor nachfolgenden Intrusionen.

Neben dieser Rolle als Infrastruktur für weitere Operationen birgt die Malware nach Einschätzung der Forscher zusätzliche Risiken für die Besitzer der betroffenen Geräte. XLab zufolge kann AryStinger DNS-Einstellungen verändern und damit den Browserverkehr der Nutzer kapern. Außerdem sei die Schadsoftware in der Lage, den ein- und ausgehenden Netzwerkverkehr unauffällig zu überwachen und potenziell abzugreifen.

Für die Infektion nutzt AryStinger ältere Schwachstellen, darunter CVE-2013-3307, CVE-2016-5681 und CVE-2025-11837. Hauptsächlich zielt die Malware auf D-Link DIR-850L- und D-Link DIR-818LW-Router. Dieselben beiden Modelle waren bereits früher Ziel des Malware-Botnetzes AVrecon, das der Kommunikationsdienstleister Lumen im Jahr 2023 gestört hatte.

Die Telemetrie von Qianxin zeigt eine klare geografische Verteilung der kompromittierten Systeme. 48,5 Prozent der Infektionen entfallen demnach auf Südkorea, 31,8 Prozent auf China. Dahinter folgen Schweden mit 6,4 Prozent, Malaysia mit 3,5 Prozent und Singapur mit 2,5 Prozent.

XLab identifizierte zwei Varianten von AryStinger. Eine in C geschriebene Version zielt überwiegend auf veraltete Router. Eine zweite, in Go entwickelte Variante richtet sich gegen NAS-Systeme, hat derzeit aber eine deutlich geringere Reichweite. Nach Angaben der Forscher ist die NAS-Version zugleich die technisch weiterentwickeltere der beiden Varianten.

Diese NAS-Variante bringt zusätzliche Funktionen mit, darunter IP- und DNS-Scans, Befehlsausführung, das Ausführen weiterer Nutzlasten sowie die Aufklärung interner Netzwerke durch die Einbindung quelloffener Penetrationstests-Werkzeuge. Bei den Funktionen zur Codeausführung unterstützt sie laut XLab Shell-Befehle sowie Go-, Java- und Python-Quellcode. Die Forscher weisen jedoch darauf hin, dass Quellcode gegenüber kompilierten Binärdateien Einschränkungen hat: Für die Kompilierung müssen die jeweiligen Laufzeitumgebungen auf dem Zielsystem vorhanden sein, und der gesamte Vorgang erzeugt zusätzliche Spuren, die die Tarnung beeinträchtigen können.

Außerdem beobachtete XLab eine verteilte Infrastruktur für DNS-Scans. Diese könnte nach Einschätzung der Forscher grundsätzlich auch dafür umfunktioniert werden, große Mengen an DNS-Anfragen gegen Resolver zu erzeugen. Konkrete Angriffe dieser Art haben die Forscher jedoch nicht festgestellt.

Eine Zuordnung zu einem bekannten Aktivitätscluster nahm XLab nicht vor. Nach Angaben der Forscher bleiben rund um AryStinger „noch viele Rätsel ungelöst“.