Votre vieux routeur, dépourvu de mises à jour depuis de longues années, est peut-être tombé entre les mains d’un botnet. Comme l’ont découvert les chercheurs de XLab, le laboratoire de renseignement sur les menaces de la société de cybersécurité chinoise QiAnXin, un nouveau botnet, nommé AryStinger, s’en prend actuellement aux routeurs obsolètes.
Selon les données mises en avant par XLab, au moins 4 300 routeurs ont déjà été infectés par le botnet dans le monde. Ce chiffre « est en constante augmentation », souligne le rapport. La Corée du Sud est le pays le plus touché, avec 48,5% des infections, suivi de la Chine (31,8%), de la Suède (6,4%), de la Malaisie (3,5%) et de Singapour (2,5%). Le rapport souligne que la menace est mondiale. Les chercheurs ont repéré 32 versions différentes du logiciel depuis le mois de mars 2026.
À lire aussi : 17 millions de PC, tablettes et smartphones piratés – un monstrueux botnet a été démantelé aux Pays-Bas
Quels routeurs sont dans le viseur d’AryStinger ?
Les appareils visés sont presque exclusivement des routeurs D-Link ancienne génération. Dans la grande majorité des cas, il s’agit des modèles DIR-850L et DIR-818LW. Ces deux routeurs partagent un hardware similaire. Ils embarquent en effet tous les deux des puces RTL819X, qui reposent sur une architecture populaire entre 2012 et 2015. Désormais abandonnée par les fabricants d’électroniques, elle est présente dans de nombreux appareils obsolètes. D-Link ne publie en effet plus de mises à jour de sécurité pour ces modèles. Vulnérables aux cyberattaques, ils sont devenus des cibles de choix pour les cybercriminels.
Pour infecter les appareils et arriver à leurs fins, les pirates exploitent des vulnérabilités documentées depuis très longtemps, dont une faille des routeurs Linksys et une brèche des routeurs exclusive aux routeurs D-Link. Ces deux failles ont été respectivement rendues publiques en 2013 et en 2016. Sans surprise, les constructeurs ont déployé des correctifs pour colmater la faille sur les appareils plus récents. Les correctifs existent depuis des années, mais les appareils en fin de vie ne les recevront jamais, ce qui ouvre la porte à toutes les intrusions.
À lire aussi : Ce botnet russe se croyait indestructible, mais il vient d’être détruit
Un botnet taillé pour l’espionnage
Contrairement à la plupart des botnets, AryStinger n’est pas programmé pour lancer des attaques DDoS. En miroir du botnet JDY, il est plutôt conçu pour mener à bien des opérations d’espionnage à grande échelle. Une fois qu’un routeur est infecté, il va recevoir une série d’instructions de la part d’un serveur à distance. Celui-ci va lui demander de scanner des adresses IP, d’identifier des services réseau exposés, ou encore de faire transiter du trafic malveillant de façon anonyme. En clair, le routeur va être utilisé dans le cadre d’une vaste opération de reconnaissance, visant à glaner le plus d’informations possible. Cette campagne « vise à bâtir une infrastructure pour des activités de reconnaissance d’intrusion, avec des capacités de collecte d’informations », détaille rapport.
En parallèle, le botnet est aussi capable de modifier les paramètres DNS du routeur infecté. Cette modification va permettre à AryStinger de rediriger les utilisateurs vers des sites de phishing ou des pages de téléchargement de virus, sans que la victime ne s’en rende compte. Par ailleurs, tout le trafic réseau peut être intercepté et analysé par les attaquants, ce qui ouvre la voie à des vols de données sensibles.
Le botnet dispose d’un vaste arsenal d’outils pour rester implanté, et discret, sur les appareils compromis. Peu après l’infection, il glisse en effet une porte dérobée persistante qui permet aux attaquants de se reconnecter à n’importe quel moment, même après un redémarrage du routeur. Enfin, le botnet est capable d’échapper à la vigilance de la plupart des antivirus, note XLab. Les communications entre les appareils infectés et les serveurs des pirates sont même chiffrées, de manière à passer sous les radars des outils de détection classiques.
Pour le moment, les chercheurs n’ont pas pu déterminer qui sont les pirates à l’origine du botnet. Le rapport souligne que « de nombreux mystères entourant AryStinger restent à résoudre ». Si votre routeur est un modèle ancien qui ne reçoit plus de mises à jour de sécurité, remplacez-le dans les plus brefs délais. En conservant un routeur obsolète et vulnérables, vous laissez votre porte ouverte aux cybercriminels. Il est aussi recommandé de changer le mot de passe du compte administrateur par défaut, et de désactiver l’accès à distance si vous ne l’utilisez pas. Ces précautions peuvent vous éviter bien des désagréments.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : xLab
