Privés de suivi de sécurité, des routeurs D-Link obsolètes sont aujourd’hui exploités pour déployer tuxnokill, une variante de Mirai utilisée dans plusieurs types d’attaques par déni de service.
Au début du mois de mars, Akamai a repéré dans son réseau de honeypots, ces systèmes leurres conçus pour capter les attaques en circulation, des tentatives d’exploitation visant des routeurs D-Link DIR-823X. Les assaillants s’appuient sur CVE-2025-29635, une faille divulguée fin mars 2025, pour exécuter des commandes à distance sur l’appareil et lui faire télécharger puis lancer un script malveillant. Sur ces modèles déclarés en fin de vie par le constructeur depuis septembre 2025, la vulnérabilité sert désormais à déployer une variante de Mirai et à grossir les rangs du botnet.
Une porte d’entrée toute trouvée pour Mirai
Dans le détail, CVE-2025-29635 (CVSS 8.8) est une faille d’injection de commandes qui touche les routeurs D-Link DIR-823X équipés des firmwares 240126 et 24082. Elle permet à un attaquant d’envoyer à l’appareil une requête piégée via son interface d’administration, de sorte qu’une donnée contrôlée de l’extérieur soit intégrée à une commande système puis exécutée par le routeur. Une fois cet accès obtenu, il peut lui faire récupérer puis lancer un script malveillant chargé d’installer la variante du botnet Mirai.
La souche déployée, tuxnokill, relie ensuite le routeur compromis à une infrastructure de commande et contrôle, depuis laquelle il peut recevoir des instructions et être mobilisé dans plusieurs types d’attaques DDoS. Les chercheurs citent notamment des floods TCP SYN, ACK et STOMP, utilisés pour saturer une cible en multipliant les requêtes de connexion, ainsi que des attaques UDP, fondées sur l’envoi massif de paquets, et HTTP NULL, qui visent à submerger un service web.
D’après Akamai, cette campagne ne cible pas seulement les routeurs D-Link, les équipes de recherche ayant également observé des tentatives comparables contre des TP-Link Archer AX21, vulnérable à la faille CVE-2023-1389, ainsi que contre des ZTE ZXV10 H108L, exposés à une autre vulnérabilité d’exécution de code à distance documentée il y a treize ans.
Des routeurs obsolètes, donc durablement exposés
Problème, les routeurs ciblés par tuxnokill ont tous été déclarés obsolètes, et ne bénéficient donc plus d’un suivi de sécurité actif. Faute de patch disponible, le plus raisonnable consiste à remplacer votre matériel vieillissant pour éviter de prendre des risques inutiles.
En attendant, il faut réduire au maximum l’exposition de l’appareil, en désactivant toute administration à distance, en s’assurant que l’interface de gestion n’est pas accessible depuis Internet, puis en remplaçant les identifiants par défaut par un mot de passe solide et unique.
Gardez enfin un œil sur les signes de compromission les plus visibles, comme des modifications inattendues de configuration, des redémarrages inhabituels ou une activité réseau qui ne correspond pas à l’usage normal du routeur.
Une injection de commandes apparaît quand une interface web (souvent l’administration du routeur) réutilise une donnée fournie par l’utilisateur sans la filtrer correctement dans une commande système. L’attaquant peut alors faire exécuter au routeur des instructions arbitraires, avec les droits du service vulnérable, voire du système. Concrètement, cela permet typiquement de télécharger un script malveillant depuis Internet puis de le lancer. Sur un équipement réseau, c’est critique car le routeur est un point central du trafic et reste allumé en permanence.
Comment un botnet de type Mirai transforme-t-il un routeur compromis en “machine d’attaque” ?Une fois infecté, le routeur contacte un serveur de commande et contrôle (C2) pour recevoir des ordres, comme lancer une attaque DDoS à un moment précis. Le malware s’exécute souvent en mémoire ou s’installe de façon opportuniste, en profitant des mécanismes de démarrage et des permissions disponibles sur l’appareil. Mirai et ses variantes sont conçus pour recruter en masse des objets connectés exposés, afin d’additionner leur bande passante et leur capacité à émettre des paquets. Chaque routeur compromis devient alors un “nœud” qui peut participer à des attaques coordonnées, parfois sans impact visible immédiat pour son propriétaire.
À quoi correspondent les attaques DDoS TCP SYN/ACK, UDP flood et HTTP “NULL” mentionnées dans les rapports ?Les floods TCP SYN/ACK cherchent à saturer la capacité d’un service à gérer des connexions en envoyant un grand volume de paquets liés à l’établissement TCP, ce qui surcharge les files d’attente et les ressources réseau. Un UDP flood envoie massivement des paquets UDP, souvent vers des ports choisis pour provoquer du traitement côté cible, avec l’objectif de saturer la bande passante ou le CPU. Les attaques HTTP visent directement la couche applicative (le serveur web) en multipliant des requêtes qui consomment des ressources ; selon l’implémentation, “NULL” désigne des requêtes ou charges anormales conçues pour perturber le traitement. Dans tous les cas, le principe est le même : épuiser une ressource (bande passante, connexions, CPU) jusqu’à rendre le service indisponible.
