AryStinger : un botnet inconnu infiltre plus de 4 300 routeurs obsolètes pour une opération d'espionnage mondial

Un nouveau botnet, baptisé AryStinger, sème l'inquiétude dans le monde de la cybersécurité. Identifié en mars 2026 par les chercheurs du laboratoire de renseignement sur les menaces XLab, rattaché à la société chinoise QiAnXin, ce logiciel malveillant a déjà compromis plus de 4 300 routeurs à travers le globe. Les analyses révèlent que ce nombre est en constante progression.

Le botnet cible quasi exclusivement des routeurs anciens, principalement des modèles D-Link, tels que le DIR-850L et le DIR-818LW. Ces appareils partagent une architecture matérielle identique, reposant sur des puces RTL819X, une technologie qui a connu son essor entre 2012 et 2015. Aujourd'hui abandonnée par les fabricants, elle équipe de nombreux dispositifs obsolètes, privés de mises à jour de sécurité depuis des années. Les chercheurs ont dénombré 32 versions différentes du logiciel malveillant depuis son apparition, témoignant d'une activité soutenue.

Des capacités multiples au service de l'espionnage

Une fois infectés, ces routeurs deviennent de véritables outils de surveillance et d'attaque. AryStinger leur confère la capacité de scanner Internet, d'identifier des services exposés, de rediriger du trafic et de servir de relais pour d'autres opérations malveillantes. Les experts évoquent un risque de détournement DNS, exposant les propriétaires à des usurpations d'identité ou à des vols de données. Le botnet transforme ainsi ces équipements oubliés en pièces maîtresses d'une infrastructure d'espionnage.

Une menace planétaire aux foyers identifiés

La répartition géographique des infections est très contrastée. La Corée du Sud apparaît comme le pays le plus touché, concentrant 48,5 % des appareils compromis. La Chine suit avec 31,8 %, puis la Suède (6,4 %), la Malaisie (3,5 %) et Singapour (2,5 %). Les chercheurs soulignent que la menace est mondiale, même si ces cinq pays cumulent la grande majorité des infections. Les experts de XLab n'ont pas encore attribué formellement cette campagne à un groupe ou un État précis.

Un phénomène qui interroge sur la gestion du parc obsolète

Cette découverte met en lumière les risques liés à l'utilisation prolongée d'équipements réseau non maintenus. Les routeurs D-Link visés ne reçoivent plus de correctifs de sécurité, laissant des failles connues depuis une dizaine d'années sans aucune protection. Les entreprises comme les particuliers sont invités à vérifier la date de mise à jour de leur matériel et à remplacer tout appareil dont le support a été abandonné. Les autorités de cybersécurité rappellent que ces dispositifs, souvent relégués au fond d'un placard, constituent une porte d'entrée idéale pour des acteurs malveillants.