XLab beschreibt AryStinger als Infrastruktur für die Vorbereitungsphase eines Einbruchs. Jeder infizierte Router werde zu einem Knoten für Fingerprinting und zu einem Relais, das die eigentliche Herkunft des Angreifers verschleiere. Die Malware könne große Scan-Aufträge in Teilstücke zerlegen und parallel über die kompromittierten Geräte verteilen.

Für die Ausbreitung auf RTL819X-Routern nutzte die Malware laut XLab zwei alte Schwachstellen aus: CVE-2013-3307 in Linksys-Modellen und CVE-2016-5681 in D-Link-Geräten. Die ausgelieferte Datei war demnach eine Linux-ELF-Binärdatei, die zum Beobachtungszeitpunkt von keiner Engine bei VirusTotal erkannt wurde. Der infizierte Bestand besteht überwiegend aus D-Link-Geräten; allein das Modell DIR-850L macht laut XLab rund 75 Prozent aus.

Geografisch liegt der Schwerpunkt der Infektionen nach XLab-Daten in Südkorea mit etwa 48 Prozent und in China mit etwa 32 Prozent. Dahinter folgen Schweden, Malaysia und Singapur. Die genannte Gesamtzahl von 4.300 bezieht sich ausschließlich auf die RTL819X-Router.

Am 26. April tauchte laut XLab eine zweite Variante auf, die QNAP-NAS-Systeme über CVE-2025-11837 angreift. Dabei handelt es sich um eine Code-Injection-Schwachstelle in QNAPs Malware Remover. Die Lücke wurde bei Pwn2Own Ireland 2025 gezeigt und im November 2025 geschlossen, also Monate bevor diese AryStinger-Variante sie einsetzte. Der Einstieg erfolgt ausgerechnet über das Malware-Entfernungswerkzeug des Geräts selbst. Wie viele NAS betroffen sind, hat XLab nach eigenen Angaben bislang nicht gemessen.

Technisch unterscheiden sich beide Ausprägungen deutlich. Die Router-Variante ist in C geschrieben und bewusst schlank gehalten, weil die alte Hardware nur begrenzte Ressourcen bietet. Sie konzentriert sich deshalb auf massenhafte DNS-Scans und das Tunneln von Verkehr. Die NAS-Variante ist in Go geschrieben und deutlich funktionsreicher. Sie scannt interne und externe Netze und nutzt Aufklärungswerkzeuge wie fscan, ksubdomain und httpx. Eine Aufgabe namens „ScriptWork“ führt vom Angreifer bereitgestellten Go-, Java- oder Python-Quellcode direkt auf dem System aus, ohne dass für jedes Ziel eine eigene Binärdatei kompiliert werden muss.

Jeder infizierte Knoten, den XLab als „Executor“ bezeichnet, kommuniziert über HTTP oder HTTPS mit seinem Command-and-Control-System. Der Datenverkehr ist mit Protobuf kodiert und per einfachem XOR verschleiert; die Go-Variante ergänzt zusätzlich gzip. Für dauerhaften Zugriff setzt AryStinger laut XLab auf einen Dropbear-SSH-Server auf dem festen Port 2332 bei Routern beziehungsweise auf gs-netcat bei NAS-Systemen. Der hartkodierte Schlüssel „sh_#@!_2024_secret“ enthält eine „2024“, die laut XLab auf einen Start im Jahr 2024 hindeuten könnte, ohne dass sich das bislang bestätigen lasse.

XLab weist zudem darauf hin, dass sich dieselben DNS-Scans auch gegen Resolver richten lassen, um Verkehr für Denial-of-Service-Angriffe zu erzeugen. Eine Zuordnung der Kampagne zu einem Akteur gibt es bisher nicht; XLab untersucht die Urheberschaft noch.

Parallelen sieht der Bericht zu sogenannten ORBs, also operativen Relaisnetzwerken, die Mandiant beschrieben hat: Netze aus kompromittierten End-of-Life-Routern und IoT-Geräten, die von staatlichen Akteuren zum Scannen und Weiterleiten von Verkehr genutzt werden. Als ähnliche Beispiele nennt der Quelltext außerdem die Dienste 5socks und Anyproxy, die laut FBI und US-Justizministerium im Mai 2025 abgeschaltet wurden, sowie das neuere Router-ORB LapDogs.

Für die Prüfung betroffener Systeme nennt XLab mehrere Indikatoren: ausgehende Verbindungen zu AryStinger-Command-and-Control- und Download-Domains, darunter ajb8.com und weitere Hosts aus der IOC-Liste von XLab, unbekannte Binärdateien in /tmp/bin sowie Prozesse mit den Namen syswapd0h oder syswapd0w.