Logiciel malveillant KadNap

Des chercheurs en cybersécurité ont identifié une nouvelle souche de logiciel malveillant, KadNap, qui cible principalement les routeurs Asus et les intègre à un réseau de zombies (botnet) conçu pour relayer du trafic internet malveillant. Observé pour la première fois en août 2025, ce logiciel malveillant a déjà infecté plus de 14 000 appareils dans le monde. L’analyse indique que plus de 60 % des systèmes compromis se trouvent aux États-Unis, tandis que des foyers d’infection plus restreints ont été détectés à Taïwan, à Hong Kong, en Russie, au Royaume-Uni, en Australie, au Brésil, en France, en Italie et en Espagne.

Bien que les routeurs Asus semblent être les cibles principales, les investigations montrent que les opérateurs de KadNap ont étendu leurs efforts à une gamme plus large d'équipements de périphérie de réseau. Cette extension suggère une tentative délibérée de maximiser la taille et la résilience de l'infrastructure du botnet.

Dissimulation entre pairs grâce à la technologie Kademlia

L'une des caractéristiques essentielles du fonctionnement de KadNap est son utilisation d'une implémentation modifiée du protocole Kademlia Distributed Hash Table (DHT). Ce protocole est intégré à une architecture pair-à-pair qui dissimule l'infrastructure du botnet en cachant les systèmes de commande au sein de nœuds distribués.

Les appareils compromis communiquent via le réseau DHT pour découvrir et se connecter aux serveurs de commande et de contrôle (C2). En dispersant la communication au sein d'un environnement décentralisé, le logiciel malveillant s'affranchit d'une infrastructure unique, ce qui complique considérablement les méthodes traditionnelles de détection et de neutralisation. Cette approche permet de fusionner efficacement le trafic malveillant avec l'activité légitime du réseau pair-à-pair, rendant la surveillance et l'interruption du réseau beaucoup plus difficiles pour les équipes de défense.

Mécanisme d’infection et stratégie de persistance

La chaîne d'infection commence par un script shell nommé aic.sh, téléchargé depuis un serveur de commandes hébergé à l'adresse IP 212.104.141.140. Ce script lance le processus d'intégration du dispositif compromis dans l'écosystème peer-to-peer du botnet.

Le script assure sa persistance en créant une tâche cron planifiée qui récupère le même script toutes les 55 minutes. À chaque téléchargement, le script est renommé en « .asusrouter » et exécuté. Une fois la persistance assurée, le script télécharge un fichier binaire ELF malveillant, le renomme « kad » et l'exécute, déployant ainsi le malware KadNap. Ce malware a été conçu pour fonctionner sur des appareils utilisant des processeurs ARM et MIPS, ce qui lui permet de compromettre une large gamme d'architectures de routeurs.

Découverte de pairs et coordination de réseau basées sur le temps

KadNap intègre un mécanisme de synchronisation des activités au sein de son réseau décentralisé. Le logiciel malveillant se connecte à un serveur NTP (Network Time Protocol) pour récupérer l'heure système actuelle et la combine avec les informations de disponibilité de l'appareil infecté. Ces valeurs servent à générer un hachage permettant à l'appareil infecté de localiser ses pairs au sein du réseau distribué.

Ce processus permet aux systèmes compromis de découvrir d'autres nœuds, d'obtenir des instructions et de télécharger des fichiers malveillants supplémentaires sans avoir recours à une structure de commande centralisée. Des scripts auxiliaires tels que fwr.sh et /tmp/.sose effectuent également des tâches supplémentaires, notamment la désactivation du port 22, le port TCP standard utilisé par Secure Shell (SSH), et l'extraction de listes d'adresses et de ports de serveurs C2 utilisés pour les communications ultérieures.

Commercialisation du botnet via des services proxy

Une fois compromis, les routeurs sont intégrés à un réseau proxy commercial commercialisé sous le nom de Doppelgänger via le site web doppelganger.shop. Les chercheurs en sécurité estiment que ce service est une version renommée de Faceless, une plateforme proxy précédemment associée au logiciel malveillant TheMoon.

D'après les documents promotionnels publiés par le service, le réseau propose un accès proxy résidentiel dans plus de 50 pays et garantit un anonymat total à ses utilisateurs. Tout porte à croire que la plateforme a été lancée vers mai ou juin 2025. L'infrastructure segmente les appareils infectés par type et modèle, car tous les appareils compromis ne communiquent pas avec tous les serveurs de commande. Cette segmentation témoigne d'une stratégie de gestion du botnet structurée et évolutive.

Le réseau de proxys a déjà été exploité par plusieurs acteurs malveillants. Cependant, l'attribution reste difficile car les routeurs impliqués dans le réseau sont parfois infectés simultanément par d'autres familles de logiciels malveillants, ce qui masque l'acteur responsable de chaque activité malveillante.

Mesures de protection pour les propriétaires de routeurs

L'essor de KadNap met en lumière le risque croissant que représentent les périphériques de périphérie mal sécurisés, tant à domicile que dans les petits bureaux. Les administrateurs réseau et les utilisateurs peuvent réduire considérablement leur exposition en adoptant plusieurs bonnes pratiques de sécurité :

• Maintenez les routeurs et les périphériques réseau à jour en matière de micrologiciels et de sécurité.
• Redémarrez périodiquement les appareils pour éliminer les processus malveillants temporaires, le cas échéant.
• Remplacez les identifiants par défaut par des mots de passe forts et uniques.
• Restreindre et sécuriser les interfaces de gestion administrative.
• Mettez hors service et remplacez les routeurs arrivés en fin de vie et qui ne reçoivent plus de mises à jour de sécurité du fournisseur.

Un botnet décentralisé conçu pour la furtivité

KadNap se distingue de nombreux botnets traditionnels prenant en charge les services de proxy anonymes par son architecture peer-to-peer décentralisée. En exploitant le protocole Kademlia DHT, le botnet répartit le contrôle entre les appareils infectés au lieu de s'appuyer sur des serveurs centralisés facilement identifiables.

Cette architecture offre aux opérateurs des canaux de communication résilients, bien plus difficiles à détecter, bloquer ou neutraliser. L'objectif stratégique est clair : assurer la continuité des opérations, contourner la surveillance de sécurité et complexifier les interventions des équipes de cybersécurité.