Исследователи Qianxin XLab обнаружили новый ботнет AryStinger, заразивший более 4000 устаревших роутеров (в основном D‑Link DIR‑850L и DIR‑818LW) через уязвимости CVE‑2013‑3307, CVE‑2016‑5681 и CVE‑2025‑11837. Заражённые устройства работают как распределённые прокси, выполняя сканирование, туннелирование и изменение DNS‑настроек, а также могут перехватывать трафик. По географии 48,5 % инфицированных находятся в Южной Корее, 31,8 % — в Китае; выявлены две версии — на C для роутеров и на Go для NAS, последняя поддерживает запуск кода на Go, Java и Python. AryStinger пока не использовался для массовых DNS‑атак, но его архитектура позволяет масштабировать такие операции.
