Un nouveau botnet baptisé KadNap sévit depuis l’été 2025. Identifié par les chercheurs de Black Lotus Labs, il s’attaque principalement aux routeurs Asus. En quelques mois, près de 14 000 appareils ont été compromis à travers le monde et leur adresse IP a été mise à la location.
Fin de l’été dernier, un nouveau botnet a fait son apparition : KadNap. Identifié par les chercheurs de Black Lotus Labs, le botnet vise essentiellement les routeurs et équipements réseau exposés sur Internet. Bien vite, le réseau d’appareils sous la coupe de KadNap a pris de l’ampleur.
Entre août 2025 et le début de l’année 2026, le malware est parvenu à infecter environ 14 000 appareils. Il s’agit surtout de routeurs estampillés Asus. Plus de 60 % des routeurs piratés se trouvent sur le sol américain. Le reste des appareils contrôlés par Kadnap se trouve à Taïwan, à Hong Kong et en Russie.
À lire aussi : Comment savoir si un botnet a piraté votre smartphone, PC, TV, ou votre box Internet ?
Les coulisses du botnet KadNap
Après enquête, les chercheurs ont remarqué que tous les appareils infectés par KadNap ne reçoivent pas leurs instructions de la part des mêmes serveurs. Les experts ont identifié une première infrastructure de commande, spécifiquement taillée pour piloter les routeurs Asus piratés. En plus de ce serveur, les pirates misent sur deux autres infrastructures de commande, ce qui rend toute l’opération particulièrement résiliente.
Pour éviter d’être démantelé, KadNap ne s’appuie donc pas sur un seul serveur de commande, mais sur un réseau d’appareils infectés qui se renvoient entre eux l’information. Ce système, inspiré d’une technologie P2P appelée Kademlia, rend beaucoup plus difficile l’identification des ordinateurs qui pilotent réellement le botnet. Concrètement, les pirates se servent de cette technologie « pour dissimuler l’adresse IP de leur infrastructure au sein d’un système peer-to-peer et ainsi échapper à la surveillance réseau traditionnelle ».
Cependant, les cybercriminels ont fait une erreur dans l’implémentation de leur protocole. Les chercheurs ont donc découvert que KadNap passe presque toujours par deux mêmes machines avant d’atteindre ses serveurs de commande. Il a donc été possible d’identifier l’infrastructure de contrôle qui est vraiment à la tête du botnet.
Selon les investigations du Black Lotus Labs, l’infection débute lorsque le routeur télécharge un petit programme malveillant sous la forme d’un script. Ce script s’installe dans le système et crée une tâche programmée qui se relance automatiquement toutes les 55 minutes. Cette tactique permet au virus de rester actif même si l’appareil redémarre ou si certains fichiers sont supprimés. Une fois que c’est fait, le script télécharge la véritable charge malveillante sur le routeur.
A lire aussi : Un « bombardement sans précédent » – un botnet a lancé une nouvelle cyberattaque record
Une adresse IP louée à des pirates
Dès la prise de contrôle, le malware KadNap va transformer le routeur compromis en proxy. En d’autres termes, les pirates vont louer l’adresse IP du routeur à d’autres cybercriminels. Ceux-ci vont évidemment s’en servir pour faire transiter tout leur trafic malveillant à l’insu du propriétaire des appareils. Ils passent ainsi sous le radar. Pour ça, les hackers à l’origine de KadNap vont d’abord consulter l’adresse IP du routeur qu’ils viennent d’infecter. Ils pourront de cette façon indiquer à leurs futurs clients d’où vient l’adresse IP qu’ils mettent à leur disposition.
Les investigations ont montré que le botnet KadNap alimente en fait Doppelganger, une boutique en ligne qui met des proxy à disposition des internautes. Les chercheurs estiment qu’il s’agit probablement du nouveau nom de Faceless, un service de proxy qui était associé au botnet TheMoon. Ce botnet s’était également spécialisé dans le piratage de routeurs signés Asus. La plateforme est spécifiquement conçue « pour les activités criminelles ». Une fois piratés, et loués sur Doppelganger, les routeurs vont être utilisés dans le cadre d’attaques DDoS (Distributed Denial of Service), destinées à saturer les serveurs de sites web, ou encore des attaques par force brute, pour casser un mot de passe.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.