Depuis plusieurs mois, un botnet baptisé KadNap infecte des routeurs ASUS pour les transformer en proxies résidentiels utilisés par des cybercriminels. Sa particularité tient à une architecture pair-à-pair, inspirée du protocole Kademlia, qui complique l’identification de l’infrastructure de contrôle.
Les équipes de Black Lotus Labs viennent de documenter l’activité d’un nouveau botnet baptisé KadNap, repéré pour la première fois en août 2025. Le malware cible principalement des routeurs ASUS, qu’il compromet afin de les intégrer à un réseau de proxies résidentiels utilisé pour relayer différentes opérations malveillantes. Selon les observations des chercheurs, près de 14 000 appareils participeraient déjà à cette infrastructure, dont la taille semble s’être stabilisée ces derniers mois.
Un botnet décentralisé trahi par deux nœuds fixes
D’après les analyses menées par Black Lotus Labs, l’infection débute par la récupération d’un script malveillant (aic.sh), hébergé sur un serveur contrôlé par les attaquants et destiné à préparer l’installation du malware. Le fichier crée ensuite une tâche planifiée qui le retélécharge toutes les 55 minutes pour maintenir l’accès au routeur, puis déploie un binaire ELF baptisé kad.
Une fois exécuté, ce programme collecte plusieurs informations sur le routeur infecté, notamment son adresse IP publique. Il interroge également plusieurs serveurs NTP (Network Time Protocol), utilisés pour synchroniser l’heure des systèmes connectés à Internet, et relève le temps écoulé depuis le dernier redémarrage de l’appareil. Ces éléments lui permettent ensuite de rejoindre l’infrastructure du botnet et d’établir le contact avec les autres équipements compromis.
Les communications du botnet reposent sur une version modifiée du protocole Kademlia et de sa table de hachage distribuée, une technologie déjà utilisée dans plusieurs réseaux P2P. Dans ce modèle décentralisé, les machines infectées ne dépendent pas d’un serveur central unique, mais participent elles-mêmes à la circulation des informations nécessaires pour localiser d’autres nœuds du réseau et atteindre l’infrastructure de commande. Pour les chercheurs et les équipes de sécurité, identifier les serveurs de contrôle et bloquer l’ensemble de l’infrastructure s’avère alors nettement plus difficile.
L’enquête menée par Black Lotus Labs a toutefois permis de révéler une faiblesse dans l’implémentation choisie par les opérateurs de KadNap. Dans un réseau P2P entièrement distribué, les nœuds de contact évoluent normalement en permanence. Or, dans ce cas précis, les appareils infectés passent systématiquement par les deux mêmes nœuds intermédiaires avant d’atteindre les serveurs de commande, ce qui réintroduit une forme de prévisibilité dans un système censé en être dépourvu.
Des routeurs domestiques transformés en relais pour cyberattaques
Les routeurs infectés par KadNap servent principalement de proxies résidentiels, c’est-à-dire de relais capables de faire transiter du trafic Internet via l’adresse IP d’une connexion domestique légitime, ce qui permet de contourner plus facilement les systèmes de détection et les listes de blocage. Les chercheurs de Black Lotus Labs relient par ailleurs cette infrastructure à Doppelganger, un service de proxy associé à des activités criminelles et présenté comme une possible évolution du service Faceless, lui-même alimenté par le botnet TheMoon.
D’un point de vue pratico-pratique, ces relais peuvent, entre autres, être mobilisés dans des attaques DDoS, dans des campagnes de credential stuffing visant à tester des identifiants volés sur de nombreux services, ou encore dans des opérations automatisées destinées à mener des campagnes de fraude publicitaire.
D’où l’importance d’installer régulièrement les mises à jour de sécurité publiées par les constructeurs, de vérifier les paramètres d’accès à l’interface d’administration, de désactiver l’administration distante lorsqu’elle n’est pas nécessaire et de remplacer systématiquement les identifiants par défaut.
Source : Black Lotus Labs
