WangZhiCheng - 奇安信 X 实验室

奇安信 X 实验室

WangZhiCheng

隐形毒刺：超4000台老旧路由器遭AryStinger入侵，沦为黑客全球攻击跳板

背景 "境外间谍情报机关利用我国境内老旧、过保的路由器作为网络攻击的“跳板”，向特定目标（如重点单位工作人员）实施网络窃密活动。" -- 国家安全部微信公众号 2026年5月20日，国安部微信公众号在文章《网速变慢，元凶竟是它！》中发出上述警示，指出老旧路由器正成为境外势力实施网络窃密的重点突破口。受该文启发，我们觉得必须重视老旧路由被入侵这一情况，本文将介绍奇安信XLab视野中一起不同寻常，专门针对基于RTL819X系列芯片的路由器设备的攻击活动。RTL819X系列芯片的主流活跃期集中在 2012 年至 2015 年左右，攻击者利用13年前被披露的漏洞攻陷大量老旧路由，组建侦察和攻击集群，用于入侵前期的踩点服务。（注：本文披露活动和国安部所述并无直接关系）让我们把钟拨回到2026年3月12日，XLab大网威胁感知系统监测到IP 107.150.106.14通过老旧漏洞CVE-2013-3307以及CVE-2016-5681传播一个VT 0检测的C语言实现的ELF样本。受这俩个漏洞影响的分别是Linksys以及D-Link 10多年前的几款路由器设备。不同于常见的

针对飞牛 NAS 的僵尸网络Netdragon 快速分析

背景近期，飞牛（fnOS）网络附加存储设备（NAS）曝出大规模遭入侵并感染恶意软件的安全事件。攻击者疑似利用飞牛 NAS 系统中尚未公开的安全漏洞，在设备对外暴露相关服务的情况下成功植入恶意程序。通过对已捕获并分析的恶意样本进行研判，我们确认其隶属于 netdragon 恶意软件家族。该家族最早于 2024 年 10 月被我们发现并持续跟踪至今，其核心能力包括 DDoS 攻击与远程命令执行，可将被感染的 NAS 设备纳入僵尸网络，参与大规模分布式拒绝服务攻击活动。值得注意的是，Netdragon 在其入侵行为逐步暴露后，持续对样本的对抗能力进行升级，通过多层手段削弱防御与清除效果。在网络层面，样本会主动删除系统中用于阻断 C2 通信的 iptables / nft规则，绕过既有封堵措施；同时篡改 hosts 文件，对飞牛 NAS 官方升级域名进行劫持，从而阻断设备获取系统更新和安全补丁。在持久化方面，Netdragon 同时引入 systemd

MystRodX: The Covert Dual-Mode Backdoor Threat

Background On June 6, 2025, XLab's Cyber Threat Insight and Analysis System(CTIA) picked up activity from IP 139.84.156.79 distributing a suspicious ELF file—dst86.bin—with a low VirusTotal hit rate of only 4/65. While conventional scanners labeled it as Mirai, our AI

静默之控：主动与被动双模后门MystRodX的隐匿渗透

背景介绍 2025年6月6日，Xlab大网威胁感知系统监测到 IP 139.84.156.79正在传播一个VT低检测 4/65，名为dst86.bin的可疑ELF文件。多引擎检测模块将该文件标识为MIRAI僵尸网络，但AI研判模块却没有给出相应的结果。这个“异常”引起了我们的兴趣，经过分析确认它是Dropper，最终会释放出一个全新的后门木马，和Mirai完全无关，多家杀软将其标记为Mirai是不准确的。基于其传僠中使用的文件名dst，释放样本中的类名cmy_，多种形式的Xor算法，我们将它命名为MystRodX。 MystRodX是一个由c++语言实现的典型后门木马，支持文件管理，端口转发，反弹SHELL，sockets管理等功能。相较于一般的后门，MystRodX在隐匿性，灵活性俩方面具有非常鲜明的特点。其中隐匿性体现在对于不同级别敏感信息采用了差异化加密策略： 1. 虚拟机&调试器检测等相关敏感字符串使用单字节xor加密 2. AES密钥，Payload，激活报文使用自定义的Transform算法加密 3. 配置文件使用AES CBC模式加密而灵活性则是M