Un malware invisible, baptisé Detour Dog, a déjà infecté plus de 30 000 sites web pourtant légitimes. Repéré par Infoblox Threat Intel, il détourne discrètement le système DNS pour diffuser des logiciels malveillants sans éveiller les soupçons.
Des dizaines de milliers de sites web légitimes servent désormais de relais pour diffuser des malwares. Imaginez visiter le site d'un cabinet d'avocats moscovite et télécharger à votre insu un logiciel espion. C'est exactement ce qui s'est passé avec les sites piégés. Tel un pickpocket en ligne, Detour Dog fait en sorte que pendant que quelques malchanceux reçoivent un cadeau empoisonné, 90% des visiteurs voient un site normal. La technique repose sur un détournement du DNS, l'annuaire invisible d'Internet, transformé en canal secret pour commander les sites infectés. Voyons les détails.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Comment Detour Dog utilise le système DNS pour infecter vos appareils
Le fonctionnement de Detour Dog repose sur un mécanisme simple. Normalement, quand vous visitez un site web, votre navigateur affiche simplement les pages hébergées sur le serveur. Mais si ce serveur a été piraté, il fait quelque chose en plus à votre insu. Avant de vous afficher la page, il interroge un serveur DNS contrôlé par les cybercriminels. Cette requête DNS contient des informations vous concernant (votre adresse IP, le type d'appareil).
Le serveur pirate analyse alors ces données et renvoie une instruction au site infecté. Soit « affiche le site normal », soit « redirige ce visiteur vers une arnaque », soit « télécharge discrètement ce fichier malveillant et envoie-le à l'utilisateur ».
La vraie trouvaille des cybercriminels, c'est d'utiliser les enregistrements DNS TXT, normalement destinés à stocker des informations textuelles inoffensives. Infoblox Threat Intel a découvert qu'à partir du printemps 2025, ces réponses DNS contenaient des instructions codées en Base64 (un système de codage) avec le mot-clé « down ». Ce signal ordonne au site infecté d'aller chercher un script malveillant sur un autre serveur et de l'exécuter. Tout se passe côté serveur, et c'est pourquoi vous ne voyez rien, nous explique Infoblox.
L'attaque se fait en plusieurs étapes. D'abord, vous recevez un e-mail avec une fausse facture contenant une pièce jointe au format SVG. Si vous l'ouvrez, ce fichier envoie automatiquement une requête vers un premier site web compromis. Deuxième phase, ce site infecté interroge alors le serveur DNS pirate de Detour Dog, qui lui renvoie une adresse pour télécharger StarFish, une porte dérobée qui s'installe sur votre ordinateur. Enfin, StarFish contacte à son tour un second site compromis, qui interroge de nouveau le DNS pirate et récupère cette fois Strela Stealer, le véritable logiciel espion final qui vole vos mots de passe et données bancaires. Les chercheurs cyber comparent cette technique à un bonneteau, puisque le malware rebondit entre plusieurs sites compromis et rend impossible de localiser sa source réelle.
Une infrastructure tentaculaire qui jongle avec les millions de requêtes
L'ampleur de l'opération est conséquente. Lorsque Shadowserver Foundation, une organisation spécialisée dans la cybersécurité, a temporairement neutralisé les serveurs de contrôle en août 2025, elle a pu analyser 39 millions de requêtes DNS en seulement 48 heures. Au moment le plus intense, 2 millions de requêtes affluaient chaque heure. Ces chiffres astronomiques s'expliquent en partie par du trafic automatisé de robots, mais ils révèlent surtout l'étendue du réseau compromis.
Près de 30 000 domaines différents, répartis sur 584 extensions nationales (.fr, .com, .ua, etc.) ont été identifiés comme infectés. Detour Dog agit de façon redoutable, 90% des requêtes reçoivent une réponse neutre, 9% déclenchent une redirection vers des arnaques, et seulement 1% exécute un téléchargement de malware. C'est cette discrétion qui permet aux infections de perdurer plus d'un an, sans que les administrateurs ne s'alarment.
Les campagnes actuelles font état d'une collaboration entre cybercriminels. Le groupe Hive0145, spécialisé dans le vol de données en Europe, envoie des millions d'e-mails piégés à l'aide de botnets REM Proxy et Tofsee (réseaux de routeurs compromis). Mais pour héberger les malwares, Hive0145 utilise les sites web piratés par Detour Dog. Infoblox Threat Intel a constaté que 69% des sites compromis hébergeant StarFish appartiennent au réseau Detour Dog. Celui-ci loue donc son infrastructure de sites infectés à d'autres groupes criminels, ce qui crée un modèle économique du crime plus que rentable.
Pourquoi votre antivirus ne détecte pas cette nouvelle génération de malwares
Sans vouloir affoler qui que ce soit, les antivirus et pare-feu traditionnels installés sur vos ordinateurs ne peuvent rien faire contre Detour Dog. La raison est simple, c'est que toute l'action se déroule sur les serveurs web infectés, et non sur votre appareil. Quand le site compromis interroge le DNS pirate et télécharge du code malveillant, votre antivirus ne voit rien passer. Vous recevez juste le résultat final, souvent présenté comme un fichier légitime.
La seule parade efficace consiste à bloquer les domaines malveillants utilisés par Detour Dog pour commander les sites infectés. Encore faut-il identifier ces domaines et obtenir leur suspension. Infoblox Threat Intel a signalé webdmonitor.io, le domaine principal servant de serveur de commande aux pirates, auprès de WebNIC (l'entreprise qui gère l'enregistrement de ce nom de domaine) dès juin 2025. Malgré 16 échanges de mails et des preuves techniques détaillées, WebNIC a refusé de suspendre ce domaine. L'entreprise s'est abritée derrière des arguments douteux, affirmant ne constater « aucune activité d'hébergement récente », alors que des milliers d'infections continuaient via ce domaine.
Que fallait-il faire, face à l'inaction de WebNIC ? Shadowserver Foundation a agi directement en août 2025, en ayant pris le contrôle technique de deux domaines de commande successifs utilisés par Detour Dog, coupant ainsi la communication entre les pirates et les sites infectés. En réaction, les cybercriminels ont créé de nouveaux domaines et déplacé leurs serveurs au Kazakhstan en quelques heures seulement.
Tout cela montre que l'organisation cybercriminelle dispose de ressources importantes. Il y a donc, d'un côté, les chercheurs en sécurité qui travaillent à repérer les nouveaux domaines malveillants, et de l'autre les hackers qui en créent de nouveaux. Sans protection DNS capable de bloquer ces domaines en temps réel, vos données restent à la merci de ces attaques.
