Fortinet vient de lever le voile sur Nexcorium, une nouvelle variante de Mirai qui cible des DVR TBK vulnérables à une faille connue et patchée depuis 2024.
Longtemps associé à l’attaque contre Dyn en 2016, Mirai est depuis devenu une matrice, un modèle que d’autres botnets reprennent, modifient et adaptent au gré des opportunités. Dernier exemple en date, Nexcorium, une nouvelle variante multi-architecture documentée par Fortinet, qui exploite une ancienne faille d’injection de commandes affectant des enregistreurs vidéo TBK. Le malware vise des appareils non mis à jour pour prendre pied sur le réseau, puis se propager à d’autres équipements afin de les convertir en relais d’attaques DDoS.
Une variante de Mirai pensée pour durer et se propager
D’après les éléments relayés par Fortinet, l’attaque repose sur l’exploitation de CVE-2024-3721, une faille divulguée en avril 2024 et concernant les DVR TBK DVR-4104 et DVR-4216 jusqu’à la version 20240412. Les attaquants s’en servent pour déposer un script de téléchargement nommé dvr, chargé ensuite de récupérer une charge utile adaptée à l’architecture ARM, MIPS R3000 ou x86-64 de la machine visée.
Sur le plan technique, Nexcorium ressemble moins à une nouvelle famille de botnet qu’à une déclinaison de plus dans l’écosystème Mirai. Fortinet révèle en effet que son code reprend plusieurs éléments déjà observés dans d’autres variantes, dont un composant chargé de veiller au bon déroulement de l’infection, un autre consacré à la reconnaissance de nouvelles cibles sur le réseau, et enfin une partie dédiée aux attaques DDoS.
Le malware embarque aussi un exploit pour CVE-2017-17215, une ancienne faille visant les routeurs Huawei HG532, ainsi qu’une liste codée en dur de noms d’utilisateur et de mots de passe par défaut ou trop faibles, utilisée pour tenter des connexions Telnet sur d’autres appareils.
Si l’accès aboutit, il vérifie qu’il peut exécuter des commandes à distance, identifie le type de machine qu’il a en face de lui, puis adapte la suite de l’infection. Il communique enfin avec un serveur de contrôle distant pour recevoir les ordres à exécuter, puis peut déclencher plusieurs formes d’attaques DDoS, par saturation de trafic UDP ou TCP, ou encore par envoi massif de requêtes SMTP et VSE.
Un acteur mal identifié et un problème toujours aussi banal
En se fondant sur un en-tête HTTP personnalisé, ainsi que sur plusieurs chaînes de caractères comme nexuscorp retrouvées dans les échantillons analysés, Fortinet rattache la campagne à un acteur malveillant encore peu documenté, suivi sous le nom de Nexus Team. On ne sait en revanche pas encore combien d’appareils ont été compromis par Nexcorium, ni même quelle est l’ampleur géographique du botnet.
Quoi qu’il en soit, l’attaque repose sur une faille ancienne et patchée de longue date. Si vous utilisez un équipement susceptible d’y être vulnérable, prenez le temps de vérifier que son firmware est bien à jour. Enfin, de manière générale, gardez en tête que ce n’est pas parce qu’un objet connecté n’a ni écran ni interface visible qu’il faut l’oublier dans la maintenance du réseau.
Une injection de commandes permet à un attaquant de faire exécuter par l’appareil des commandes système (souvent via une requête web) comme s’il était l’administrateur. Sur un DVR, cela peut donner un accès direct au système embarqué pour télécharger et lancer un malware, sans avoir besoin d’identifiants valides. C’est critique car ces équipements tournent souvent avec des services exposés (interface web, Telnet) et des droits élevés, ce qui facilite la prise de contrôle. Même si un correctif existe, un appareil non mis à jour reste une porte d’entrée durable sur le réseau.
Que signifie “multi-architecture” pour un botnet IoT comme une variante de Mirai ?“Multi-architecture” indique que le malware existe en plusieurs versions compilées pour différents processeurs (par exemple ARM, MIPS ou x86-64). Les attaquants peuvent ainsi viser un large parc d’objets connectés et de petits équipements réseau, qui n’utilisent pas tous la même architecture matérielle. En pratique, un script ou un “dropper” détecte la plateforme de la cible puis télécharge la charge utile compatible. Résultat : le taux d’infection augmente, et le botnet devient plus résilient face à l’hétérogénéité des appareils.
À quoi servent un serveur de commande et contrôle (C2) et des attaques DDoS UDP/TCP/SMTP/VSE dans un botnet ?Le serveur de commande et contrôle (C2) est l’infrastructure qui envoie les ordres aux machines compromises et récupère des informations sur l’état du botnet. Une fois enrôlés, les appareils peuvent générer des attaques DDoS en multipliant des flux réseau pour saturer une cible, soit par volume (UDP), soit en épuisant des ressources de connexion (TCP). Des vecteurs comme SMTP ou VSE utilisent des protocoles spécifiques pour amplifier la charge ou contourner certains filtrages en imitant du trafic applicatif. L’objectif n’est pas seulement de “faire du bruit”, mais de rendre un service indisponible en consommant bande passante, CPU, mémoire ou tables de sessions.
