Les chercheurs de Black Lotus Labs ont identifié un botnet infectant environ 14 000 routeurs par jour, principalement des modèles Asus aux États-Unis, en utilisant une technologie peer-to-peer avancée pour échapper à la détection. Le malware, connu sous le nom de KadNap, transforme ces appareils en proxys pour des activités de cybercriminalité. Les utilisateurs infectés sont invités à réinitialiser en usine leurs routeurs et à appliquer des mises à jour du firmware pour éliminer la menace.
Le botnet KadNap, découvert par Black Lotus Labs en août, a crû pour infecter en moyenne 14 000 routeurs et appareils réseau par jour en mars 2026, contre 10 000 infections au moment de la détection initiale. La majorité des appareils compromis sont des routeurs Asus, principalement situés aux États-Unis, avec de plus petits groupes à Taïwan, Hong Kong et en Russie. Selon Chris Formosa, chercheur chez Black Lotus Labs de Lumen, le malware exploite des vulnérabilités non corrigées dans ces appareils, sans recourir à des exploits zero-day. nnCe qui distingue KadNap, c’est son utilisation d’une structure de réseau peer-to-peer basée sur Kademlia, un système de table de hachage distribuée (DHT) popularisé à l’origine dans des technologies comme BitTorrent. Cette conception décentralise le contrôle, masquant les adresses IP des serveurs de commande et de contrôle et rendant le botnet hautement résistant aux méthodes traditionnelles de démantèlement. « Le botnet KadNap se distingue des autres qui supportent des proxys anonymes par son utilisation d’un réseau peer-to-peer pour un contrôle décentralisé », ont écrit Formosa et le chercheur collègue Steve Rudd. « Leur intention est claire : éviter la détection et rendre difficile la protection pour les défenseurs. »nnEn fonctionnement, KadNap opère en ayant des nœuds interroger les autres à l’aide d’une phrase de passe pour localiser l’infrastructure de contrôle, recevant finalement des fichiers avec les adresses de commande et de contrôle. Les appareils infectés servent de proxys pour Doppelganger, un service payant qui route le trafic des clients via des connexions internet résidentielles pour permettre un accès anonyme à des sites restreints.nnBlack Lotus Labs a développé des méthodes pour bloquer le trafic vers l’infrastructure de contrôle du botnet et partage des indicateurs de compromission, tels que des adresses IP spécifiques et des hachages de fichiers, via des flux publics. Les utilisateurs suspectant une infection peuvent vérifier les journaux de leurs appareils contre ces indicateurs. Pour désinfecter, les propriétaires doivent effectuer une réinitialisation d’usine — un simple redémarrage est insuffisant, car le malware persiste via un script shell — et s’assurer que le firmware est mis à jour, que les mots de passe sont forts et que l’accès distant est désactivé quand non nécessaire.
