Il y a plus d'un an, des chercheurs en sécurité ont publié un échec dans certains routeurs D-Link qui ont maintenant commencé à être activement exploités par un botnet basé à Mirai. Le défaut, identifié comme CVE-2025-29635, permet l'exécution de commandes distantes par une requête POST adressée à un paramètre spécifique de l'appareil, et selon l'équipe de réponse de sécurité Akamai (SIRT) que la faiblesse a été utilisée depuis Mars 2026 pour intégrer l'équipement dans un réseau malveillant.
La technique observée par Akamai n'est pas sophistiquée dans son approche: les attaquants envoient des demandes qui exploitent la vulnérabilité pour passer par les itinéraires où le système a écrit le permet, télécharger un script appelé- Oui. shà partir d'un serveur distant et l'exécuter, ce qui entraîne l'installation d'un binaire malveillant. Ce binaire, baptisé par des analystes comme "Tuxnokill", est une adaptation Mirai préparée pour fonctionner dans plusieurs architectures CPU, et conserve le catalogue classique d'attaques de déni de service distribué (DDoS) associés aux synchrones Mirai - TCP, aux amplifications UDP et aux variantes d'inondations HTTP.
La description technique de l'échec rend le vecteur clair: une requête POST à la ressource / goform / set _ interdisant qui invoque une fonction vulnérable et vous permet d'injecter et d'exécuter des commandes sur l'ordinateur affecté. L'entrée publique de la vulnérabilité dans la base de données sur la vulnérabilité nationale est disponible pour voir les détails techniques et l'historique de l'allocation CVE: NVD - CVE-2025-29635. Le rapport d'Akamai, qui documente la campagne et montre les signaux recueillis dans son réseau de pots à miel, est disponible ici: Akamai SIRT - analyse de campagne.
Un fait pertinent dans cet incident est que la vulnérabilité a été connue par les chercheurs Wang Jinshuai et Zhao Jiangting il y a plus d'un an et il y a eu une preuve de concept brièvement publié dans GitHub, que les auteurs ont par la suite retiré. Cependant, l'exploitation massive dans des environnements réels n'a pas été documentée avant les récentes observations d'Akamai.
Les responsables de la campagne n'ont pas été limités à cet objectif unique. Les mêmes modèles d'attaque détectés par Akamai sont également apparus dans des tentatives d'exploitation de différents échecs, tels que CVE-2023-1389 qui affecte certains routeurs TP-Link et une vulnérabilité de fonctionnement à distance dans les routeurs ZTE ZXV10 H108L, et dans tous les cas, le résultat a été le déploiement d'une charge de type Mirai.
Le contexte augmente le risque : les modèles DIR-823X affectés par CVE-2025-29635 ont atteint la fin de leur vie en novembre 2024, selon le D-Link lui-même, ce qui réduit les options pour recevoir un patch officiel. D-Link a indiqué clairement dans ses politiques qu'elle n'émet généralement pas d'exceptions de support pour les équipements EoL, de sorte que des millions d'utilisateurs ayant un matériel ancien ne disposent pas d'une mise à jour; la notification de fin de support est publiée sur le site de l'entreprise: D-Link - annonce de fin de vie.
Cet incident rappelle pourquoi les botnets basés sur l'IoT demeurent une menace persistante : les firmwares non mis à jour, les mots de passe par défaut et les services de gestion accessibles sur Internet offrent une surface d'attaque attrayante et stable. Mirai, dans ses différentes réincarnations, a montré qu'elle peut réapparaître avec des variantes capables d'être compilées pour différentes puces et systèmes d'exploitation intégrés, multipliant le risque dans les environnements domestiques et EMS.
Si vous avez l'un de ces routeurs ou équipements à proximité dans l'antiquité, les mesures défensives les plus efficaces sont de remplacer l'équipement par un qui reçoit toujours le soutien et les mises à jour de sécurité. Tant que le remplacement n'est pas possible, il convient de minimiser l'exposition : désactiver l'administration à distance si cela n'est pas nécessaire, modifier les références administratives pour des mots de passe robustes et uniques, et surveiller les comportements anormaux tels que les redémarrages inattendus, les connexions sortantes à des PI inconnus ou les changements de configuration que vous n'avez pas effectués.
En outre, pour les gestionnaires de la sécurité et l'équipement, il est recommandé d'examiner les dossiers, de bloquer les tentatives d'exploitation connues sur le périmètre et d'utiliser l'inspection de la circulation pour détecter les scripts qui tentent de persister sur les routes avec des permis d'écriture. L'information publique sur ces campagnes - comme celle d'Akamai - et la description du CVE aident à ajuster les règles de détection et de blocage dans les pare-feu et les systèmes de prévention des intrusions.
La bonne nouvelle est que la communauté de la sécurité a de la documentation et des analyses pour identifier et atténuer ces menaces; la mauvaise nouvelle est que le parc d'appareils non pris en charge restera un vecteur exploitable tant qu'il y aura du matériel connecté sans maintenance. Pour comprendre la portée historique et technique de Mirai, on peut consulter des documents de référence décrivant l'évolution de cet écosystème malveillant, comme l'analyse de Brian Krebs du botnet Mirai et ses conséquences à grande échelle : KrebsOnSecurity - Le Botnet Mirai.
En bref, CVE-2025-29635 est devenu la passerelle d'une campagne active qui installe une variante de Mirai dans les routeurs D-Link qui ne reçoivent plus de soutien. La solution la plus sûre est de remplacer l'équipement par une mise à jour. et, en tant que mesures complémentaires, il est nécessaire de réduire la surface de l'attaque et de surveiller le comportement du réseau pour détecter les signes d'engagement le plus rapidement possible.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...