Il y a des semaines, les enquêteurs de la sécurité ont alerté sur un nouveau botnet actif qui transforme les routeurs domestiques et d'autres équipements frontaliers en proxies à la disposition des criminels. Selon l'équipe de recherche sur la menace connue sous le nom de Black Lotus Labs, ce malware - baptisé KadNap - a connu une croissance remarquable depuis août 2025 et a déjà groupé des dizaines de milliers d'appareils au sein d'un réseau de pairs à pairs qui complique leur suivi et leur atténuation.
La clé technique du problème est que KadNap utilise une variante du protocole Kademlia - une table de hachage distribuée (DHT) - pour cacher et distribuer les informations de commande et de contrôle (C2). Au lieu de s'appuyer sur un seul serveur central, les appareils infectés communiquent entre eux pour localiser les nœuds de contrôle, de sorte que la suppression d'une IP particulière ne désactive pas le bouton bloc. Pour comprendre l'idée de fond, veuillez consulter l'explication technique de Kademlia dans des sources publiques telles que l'entrée de référence Wikipedia: https: / / fr.wikipedia.org / wiki / Kademlia.
Le modus operandi technique rapporté commence par le téléchargement d'un script malveillant (appelé aic.sh dans l'analyse) à partir d'une adresse IP spécifique. Ce script persiste sur l'équipe créant une tâche programmée qui est souvent exécutée, puis installe un binaire ELF - appelé kad dans les résultats - qui agit comme un client de botnet. Le binaire consulte l'IP externe de la machine et synchronise le temps et commence avec les services NTP pour calibrer son comportement avant de s'intégrer au réseau pair.
Malgré l'apparence décentralisée, les chercheurs ont détecté un modèle qui ouvre une fenêtre de défense : L'implémentation de Kademlia par KadNap maintient des connexions constantes à deux nœuds spécifiques avant d'atteindre les serveurs de contrôle finaux. Ce comportement réduit la véritable décentralisation et facilite l'identification des infrastructures en rapport avec l'exclusion ou le blocus. La découverte et l'analyse elle-même ont été diffusées par Black Lotus Labs ; leurs travaux mettent en évidence la façon dont les attaquants mélangent les techniques P2P avec des habitudes de fonctionnement répétitives qui parfois leur donnent.
Géographiquement, la plupart des engins commis se trouvent aux États-Unis - environ 60% selon le rapport - avec des concentrations supplémentaires à Taiwan, Hong Kong et la Russie. Le botnet a atteint environ 14 000 nœuds dans la fenêtre analysée, et près de la moitié de ces équipements sont associés à une infrastructure de contrôle spécifiquement ciblée sur les routeurs ASUS.
Quant à la monétisation, les chercheurs rapportent KadNap à un service par procuration appelé Doppelganger, qui semble être un reconditionnement de services antérieurs comme Faceless. Ces marchés vendent l'accès à des machines infectées telles que les "proxies résidentielles", utiles pour couvrir le trafic malveillant et supprimer les blocages: des attaques DDoS aux campagnes crédentonales de farce et de force brute. Cela fait de l'équipement domestique commis une ressource commerciale pour les acteurs criminels qui cherchent à obtenir l'anonymat et le filtrage géographique du trafic.
Les actions défensives n'étaient pas attendues : Lumen a déclaré qu'il avait bloqué sur son propre réseau le trafic associé à l'infrastructure de contrôle identifiée, et a annoncé qu'il publierait des indicateurs d'engagement (IOC) pour aider d'autres opérateurs et administrateurs à détecter et à atténuer le botnet. Ces mesures montrent clairement que la coopération entre chercheurs, opérateurs et fournisseurs est essentielle lorsqu'une menace est distribuée par le réseau mondial.
Que peut faire un utilisateur de maison ou un petit gestionnaire de réseau en ce moment? Mettre à jour le firmware du routeur et changer les identifiants par défaut est la première ligne de défense; de nombreuses infections sur les périphériques de bord prospèrent par des identifiants faibles et des versions non-patchées. Il est également approprié de désactiver les fonctions de gestion à distance si elles ne sont pas utilisées, d'activer le chiffrement WPA2 / 3 dans le Wi-Fi et de séparer les périphériques IoT dans un réseau indépendant du réseau principal. Si une infection est suspectée, un redémarrage n'est pas toujours suffisant: la restauration aux valeurs de l'usine et l'application du dernier firmware est le moyen le plus sûr de nettoyer un routeur compromis. Pour les bonnes pratiques et les références en matière d'atténuation, les guides officiels aux organismes publics et les cadres de sécurité sont utiles; par exemple, les recommandations de la CISA visant à protéger les réseaux nationaux et de télétravail offrent des étapes concrètes: https: / / www.cisa.gov / publication / sécurisation-maison-réseaux-travail. Il est également pertinent d'examiner les techniques documentées de persistance dans des cadres tels que MITRE ATT & CK, qui décrivent comment les logiciels malveillants utilisent des tâches programmées pour survivre au redémarrage: https: / / attack.mitre.org / techniques / T1053 /.
L'histoire de KadNap illustre deux tendances qui doivent être prises en compte : d'une part, les attaquants élargissent leur champ d'application en exploitant des appareils de consommation qui n'ont pas été conçus avec une sécurité robuste; d'autre part, ils ont recours aux architectures P2P et aux techniques de dissimulation pour rendre difficile la rupture de leurs services. La combinaison de dispositifs mal protégés et d'entreprises illégales qui vendent « l'accès comme service » crée un écosystème où les dommages sont rapidement réduits et la réponse exige à la fois des mesures techniques individuelles et des interventions coordonnées au niveau du réseau et de la communauté.
Pour ceux qui veulent approfondir l'analyse technique et le suivi de ce botnet, la chose la plus prudente est de consulter l'analyse originale des chercheurs qui l'ont documentée et les mises à jour publiées par les organismes d'intervention en matière de sécurité. Le travail de Black Lotus Labs a été la principale source publique de cet incident; son travail démontre l'utilité de la recherche sur les menaces pour cartographier les tactiques, les techniques et les procédures et pour fournir des listes de blocs qui aident à arrêter la prolifération.
Bref, l'émergence de KadNap nous rappelle que la sécurité commence à la maison : tenir à jour l'équipement, modifier les références par défaut et appliquer de bonnes pratiques de segmentation et de surveillance réduisent considérablement le risque que notre routeur devienne un morceau de plus d'un botnet.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...