Depuis plusieurs mois, un botnet baptisé KadNap infecte des routeurs ASUS pour les transformer en proxies résidentiels utilisés par des cybercriminels. Sa particularité tient à une architecture pair-à-pair, inspirée du protocole Kademlia, qui complique l’identification de l’infrastructure de contrôle.
Les équipes de Black Lotus Labs viennent de documenter l’activité d’un nouveau botnet baptisé KadNap, repéré pour la première fois en août 2025. Le malware cible principalement des routeurs ASUS, qu’il compromet afin de les intégrer à un réseau de proxies résidentiels utilisé pour relayer différentes opérations malveillantes. Selon les observations des chercheurs, près de 14 000 appareils participeraient déjà à cette infrastructure, dont la taille semble s’être stabilisée ces derniers mois.
Un botnet décentralisé trahi par deux nœuds fixes
D’après les analyses menées par Black Lotus Labs, l’infection débute par la récupération d’un script malveillant (aic.sh), hébergé sur un serveur contrôlé par les attaquants et destiné à préparer l’installation du malware. Le fichier crée ensuite une tâche planifiée qui le retélécharge toutes les 55 minutes pour maintenir l’accès au routeur, puis déploie un binaire ELF baptisé kad.
Une fois exécuté, ce programme collecte plusieurs informations sur le routeur infecté, notamment son adresse IP publique. Il interroge également plusieurs serveurs NTP (Network Time Protocol), utilisés pour synchroniser l’heure des systèmes connectés à Internet, et relève le temps écoulé depuis le dernier redémarrage de l’appareil. Ces éléments lui permettent ensuite de rejoindre l’infrastructure du botnet et d’établir le contact avec les autres équipements compromis.
Les communications du botnet reposent sur une version modifiée du protocole Kademlia et de sa table de hachage distribuée, une technologie déjà utilisée dans plusieurs réseaux P2P. Dans ce modèle décentralisé, les machines infectées ne dépendent pas d’un serveur central unique, mais participent elles-mêmes à la circulation des informations nécessaires pour localiser d’autres nœuds du réseau et atteindre l’infrastructure de commande. Pour les chercheurs et les équipes de sécurité, identifier les serveurs de contrôle et bloquer l’ensemble de l’infrastructure s’avère alors nettement plus difficile.
L’enquête menée par Black Lotus Labs a toutefois permis de révéler une faiblesse dans l’implémentation choisie par les opérateurs de KadNap. Dans un réseau P2P entièrement distribué, les nœuds de contact évoluent normalement en permanence. Or, dans ce cas précis, les appareils infectés passent systématiquement par les deux mêmes nœuds intermédiaires avant d’atteindre les serveurs de commande, ce qui réintroduit une forme de prévisibilité dans un système censé en être dépourvu.
Des routeurs domestiques transformés en relais pour cyberattaques
Les routeurs infectés par KadNap servent principalement de proxies résidentiels, c’est-à-dire de relais capables de faire transiter du trafic Internet via l’adresse IP d’une connexion domestique légitime, ce qui permet de contourner plus facilement les systèmes de détection et les listes de blocage. Les chercheurs de Black Lotus Labs relient par ailleurs cette infrastructure à Doppelganger, un service de proxy associé à des activités criminelles et présenté comme une possible évolution du service Faceless, lui-même alimenté par le botnet TheMoon.
D’un point de vue pratico-pratique, ces relais peuvent, entre autres, être mobilisés dans des attaques DDoS, dans des campagnes de credential stuffing visant à tester des identifiants volés sur de nombreux services, ou encore dans des opérations automatisées destinées à mener des campagnes de fraude publicitaire.
D’où l’importance d’installer régulièrement les mises à jour de sécurité publiées par les constructeurs, de vérifier les paramètres d’accès à l’interface d’administration, de désactiver l’administration distante lorsqu’elle n’est pas nécessaire et de remplacer systématiquement les identifiants par défaut.
Source : Black Lotus Labs
Kademlia est un protocole pair-à-pair qui s’appuie sur une DHT (table de hachage distribuée) pour retrouver des nœuds et des informations sans annuaire central. Chaque machine conserve une petite « table de routage » vers d’autres pairs, ce qui permet de trouver rapidement une cible en quelques sauts. Dans un botnet, ce modèle évite le point de contrôle unique facile à saisir ou à bloquer côté hébergeur. En revanche, l’identification et la neutralisation demandent souvent d’infiltrer le réseau, de cartographier ses pairs et de perturber ses mécanismes de découverte. Si certains nœuds restent fixes (bootstrap), ils deviennent en revanche des points faibles exploitables pour l’analyse et le blocage.
À quoi sert une tâche planifiée qui retélécharge régulièrement un script malveillant sur un routeur ?Une tâche planifiée sert à assurer la persistance : même si un fichier est supprimé ou si un service plante, le code revient automatiquement. Sur un routeur, cela permet de restaurer rapidement l’accès ou de réinstaller le binaire principal après un redémarrage ou une tentative de nettoyage. Retélécharger périodiquement un script offre aussi un canal de mise à jour aux attaquants, qui peuvent modifier les commandes ou déployer une nouvelle charge utile. La fréquence élevée réduit la fenêtre pendant laquelle l’appareil pourrait rester « propre ». Pour les équipes de sécurité, c’est un indicateur clé : supprimer le malware sans neutraliser la persistance mène souvent à une réinfection.
Qu’est-ce qu’un proxy résidentiel et pourquoi est-il si recherché pour les attaques en ligne ?Un proxy résidentiel est un relais qui fait sortir le trafic via une adresse IP associée à une connexion Internet grand public, généralement perçue comme plus “légitime” qu’une IP de datacenter. Cela aide à contourner des listes de blocage, des filtres anti-bot et certains contrôles de réputation IP utilisés par les sites web. Les attaquants l’emploient pour masquer l’origine réelle d’activités comme le credential stuffing, le scraping agressif, la fraude publicitaire ou certaines phases de préparation de DDoS. Comme ces IP changent et appartiennent à des foyers, la remédiation est plus compliquée qu’un simple blocage d’un serveur. Pour les utilisateurs concernés, le risque est double : leur adresse IP peut se retrouver associée à des activités malveillantes, et la connexion Internet peut perdre en performances ou en stabilité.
