Botnet Baru “AryStinger” Infeksi Ribuan Router D-Link Lawas untuk Jadi Alat Mata-Mata Siber

Sebuah jaringan robot peretas (botnet) baru yang sebelumnya tidak terdokumentasi bernama AryStinger dilaporkan telah berhasil mengompromikan lebih dari 4.000 unit perangkat router berstatus usang (outdated/End-of-Life). Jaringan ini dimanfaatkan oleh aktor ancaman siber sebagai infrastruktur perantara (proxy) terselubung untuk menyamarkan jalur lalu lintas data ilegal secara global.

Temuan ini pertama kali diungkap ke publik oleh tim peneliti intelijen ancaman siber XLab dari Qianxin. Menurut analisis mereka, botnet AryStinger tidak dirancang untuk melancarkan serangan siber massal konvensional seperti Distributed Denial of Service (DDoS) atau penambangan mata uang kripto ilegal (cryptomining). Sebaliknya, jaringan ini dikonstruksikan sebagai kluster infrastruktur pemetaan (reconnaissance) untuk membantu memuluskan fase awal dari operasi spionase siber.

Strategi Serangan Terdistribusi: Memecah Tugas untuk Efisiensi

Di dalam sistem operasionalnya, AryStinger secara otomatis mengubah setiap perangkat router yang berhasil terinfeksi menjadi sebuah unit pelaksana perintah nirkabel jarak jauh yang disebut dengan istilah “Executor”. Unit-unit ini dapat dikendalikan dari jauh untuk melakukan berbagai aktivitas berbahaya, seperti pemindaian jaringan (scanning), penerusan lalu lintas (proxying), pembuatan terowongan data (tunneling), serta eksekusi perintah sistem terpusat.

Para peneliti XLab mencatat bahwa peretas menggunakan arsitektur terdistribusi yang sangat cerdas. Aktor ancaman siber dapat memecah sebuah tugas pemindaian target berskala masif menjadi ribuan fragmen tugas berukuran kecil. Fragmen-fragmen tugas ini kemudian didistribusikan secara paralel ke ribuan unit Executor (perangkat korban) yang tersebar di berbagai belahan dunia.

Melalui pendekatan terdistribusi ini, penyerang dapat menyelesaikan aktivitas pengumpulan informasi awal (footprinting atau reconnaissance) secara cepat dan efisien. Metode ini juga memberikan jaminan tingkat keberhasilan yang jauh lebih tinggi pada fase intrusi atau pembobolan sistem target utama selanjutnya, karena lalu lintas pemindaian tidak menumpuk dari satu alamat IP saja, sehingga sulit dideteksi oleh sistem pertahanan keamanan konvensional.

Bahaya Nyata: Pembajakan DNS dan Pemantauan Trafik

Selain difungsikan sebagai batu loncatan untuk menyerang target eksternal, kehadiran malware AryStinger di dalam jaringan lokal juga membawa risiko keamanan yang sangat fatal bagi pemilik perangkat. XLab memberikan peringatan bahwa malware ini memiliki kapabilitas tinggi untuk:

1. Memanipulasi Pengaturan DNS (DNS Hijacking): Mengubah konfigurasi sistem DNS pada router guna mengalihkan aktivitas selancar web pengguna secara diam-diam ke situs web tiruan atau situs berbahaya yang dikendalikan peretas.
2. Penyadapan Jaringan (Traffic Sniffing): Memantau, menyaring, dan berpotensi mencuri seluruh paket data lalu lintas jaringan yang masuk (inbound) maupun yang keluar (outbound) dari seluruh perangkat yang terhubung ke router tersebut.

Eksploitasi Celah Keamanan Usang pada Chip RTL819X

Para aktor siber di balik AryStinger membangun jaringan ini dengan mengeksploitasi serangkaian celah keamanan lama serta celah keamanan baru pada router yang menggunakan cip seri RTL819X (populer pada periode tahun 2012–2015). Beberapa kode kerentanan yang dimanfaatkan meliputi CVE-2013-3307, CVE-2016-5681, dan CVE-2025-11837.

Target utama dari serangan ini adalah perangkat tipe D-Link DIR-850L dan D-Link DIR-818LW. Kedua model router ini tercatat sudah tidak lagi mendapatkan dukungan pembaruan dari pabrikan, dan sebelumnya juga sempat menjadi target operasi dari botnet malware terpisah bernama AVrecon yang sempat dilumpuhkan oleh perusahaan penyedia layanan komunikasi Lumen pada tahun 2023 silam.

Berdasarkan data telemetri yang dihimpun oleh Qianxin, sebaran geografis dari perangkat komputer terinfeksi paling banyak terkonsentrasi di wilayah Asia, dengan rincian persentase sebagai berikut:

• Korea Selatan: 48,5% (Hampir separuh dari total infeksi dunia)
• Tiongkok: 31,8%
• Swedia: 6,4%
• Malaysia: 3,5%
• Singapura: 2,5%

Dua Varian Berbeda: Pendekatan C dan Go (NAS)

Dalam laporan teknisnya, XLab mengidentifikasi adanya dua varian arsitektur dari malware AryStinger yang beredar di lapangan:

• Varian Berbasis Bahasa C: Merupakan versi standar yang dirancang khusus untuk mengincar perangkat router lawas berarsitektur ringkas.
• Varian Berbasis Bahasa Go (Golang): Varian yang lebih baru dan canggih yang difokuskan untuk menyerang perangkat penyimpanan jaringan (Network-Attached Storage / NAS). Walau jangkauan infeksinya saat ini masih tergolong terbatas, varian ini memiliki fitur penembusan yang jauh lebih berbahaya.

Varian berbasis Go pada sistem NAS dilengkapi dengan fungsionalitas mutakhir yang mengintegrasikan berbagai perkakas uji penetrasi (penetration testing tools) bersifat open-source. Fitur tambahannya mencakup pemindaian IP dan DNS secara mendalam, eksekusi muatan kode (payload), serta pengintaian perimeter jaringan internal perusahaan secara otomatis.

Sistem penulisan kode pada varian NAS ini juga telah mendukung eksekusi perintah perintah Shell standar, serta mampu mengeksekusi baris kode sumber mentah dalam bahasa pemrograman Go, Java, dan Python. Meski demikian, para peneliti mencatat adanya keterbatasan teknis pada penggunaan kode sumber langsung ini; proses kompilasi otomatis di perangkat inang membutuhkan ketersediaan modul language runtimes bawaan, di mana proses ini menghasilkan kebisingan sistem (noise) yang berisiko merusak mode senyap (stealth mode) peretas sehingga memicu alarm deteksi antivirus.

Hingga saat ini, para peneliti siber belum mengaitkan operasional botnet AryStinger dengan kelompok atau kluster aktivitas peretas kawakan tertentu yang sudah dikenal. Pihak otoritas menyatakan masih banyak misteri teknis seputar aktor intelektual di balik AryStinger yang harus dipecahkan.

Sebagai langkah pencegahan bagi para pengguna rumahan maupun pelaku bisnis, para pemilik perangkat router yang sudah masuk dalam kategori habis masa dukungan (End-of-Life) sangat disarankan untuk segera mengganti perangkat mereka dengan model baru yang memiliki dukungan keamanan aktif. Jika masih menggunakan perangkat yang didukung, pastikan untuk selalu mengaplikasikan firmware terbaru, mengubah kata sandi administratif bawaan pabrik, serta mematikan panel manajemen akses jarak jauh (remote management panels) guna memperkecil celah serangan.