En bref

  • Akamai SIRT documente le 22 avril 2026 une campagne Mirai active contre les routeurs D-Link DIR-823X.
  • L'exploitation cible la CVE-2025-29635, une injection de commande non authentifiée sur l'endpoint /goform/set_prohibiting.
  • Les appareils sont en fin de vie depuis novembre 2024 et ne recevront aucun correctif ; seul le remplacement matériel ferme le risque.

Ce qui s'est passé

Les équipes de l'Akamai Security Intelligence and Response Team ont publié le 22 avril 2026 un rapport détaillant une campagne active du botnet Mirai qui exploite la CVE-2025-29635, une vulnérabilité d'injection de commande touchant les routeurs D-Link DIR-823X. Les honeypots globaux d'Akamai ont capturé les premières tentatives début mars 2026, mais l'activité s'est nettement intensifiée sur la dernière semaine d'avril, déclenchant la publication du rapport et la prise de position du HKCERT le 23 avril. Les attaquants ciblent l'endpoint /goform/set_prohibiting du firmware : les paramètres POST ne sont pas validés correctement, ce qui permet d'injecter des commandes système sans authentification valide. Une fois la commande exécutée, le loader télécharge une variante baptisée « tuxnokill » qui enrôle l'appareil dans un botnet DDoS-as-a-service à volumétrie industrielle.

La CVE-2025-29635 avait été divulguée en mars 2025 et était restée sans exploitation documentée pendant douze mois. La situation a changé début 2026 avec l'apparition de deux opérateurs distincts : la variante Mirai observée par Akamai et un botnet émergent baptisé RondoDox, qui scanne les mêmes cibles avec un kit d'exploitation différent. Pour les administrateurs, l'empreinte est celle d'une campagne à volumétrie modérée mais persistante, avec des requêtes HTTP POST répétées vers l'endpoint vulnérable, souvent depuis des IP résidentielles déjà compromises.

D-Link a confirmé que la gamme DIR-823X est arrivée en fin de support en novembre 2024 et qu'aucun correctif ne sera publié. Le constructeur renvoie ses clients vers des modèles plus récents, laissant la base installée — estimée à plusieurs dizaines de milliers d'unités actives dans le monde — totalement exposée à une CVE publique depuis plus d'un an.

Pourquoi c'est important

Cette campagne illustre la dette technique massive que représentent les routeurs grand public en fin de vie. Les DIR-823X sont très répandus en PME et en résidentiel, avec des firmwares rarement mis à jour même lorsque des correctifs existent. Lorsqu'un vendeur déclare un produit EOL et refuse de patcher, les CVE anciennes deviennent des armes réutilisables année après année par les opérateurs de botnets — c'est exactement le schéma qui avait permis à Mirai de battre des records de trafic DDoS depuis 2016, et que l'on retrouve dans d'autres campagnes de masse comme le scan n8n à 100 000 serveurs.

Pour les entreprises, le risque est double. Un routeur compromis dans le LAN sert de pivot pour de la reconnaissance interne, de l'exfiltration ou du tunneling vers des ressources sensibles. Depuis l'extérieur, l'IP publique peut être enrôlée dans des attaques DDoS visant des tiers, avec les conséquences juridiques et de réputation que cela implique. Les fournisseurs d'accès et hébergeurs peuvent également bloquer les IP malveillantes, générant des ruptures de service imprévues pour les équipes IT. Le phénomène complète la vague de vulnérabilités récentes sur les équipements réseau d'entreprise comme la faille IKE Windows BlueHammer.

Au-delà du cas D-Link, cet incident relance la question du support long terme des équipements réseau. Les référentiels de sécurité comme le catalogue CISA KEV du 20 avril s'alourdissent chaque semaine de vulnérabilités touchant des produits abandonnés, forçant les équipes SOC à arbitrer entre remplacement matériel coûteux et acceptation d'un risque croissant. L'écosystème npm connaît la même dérive, illustrée par l'attaque Axios de Sapphire Sleet sur la chaîne d'approvisionnement logicielle.

Ce qu'il faut retenir

  • Remplacer immédiatement tout routeur D-Link DIR-823X en production : aucun patch ne viendra, et l'exploitation est active.
  • Bloquer l'accès externe à l'interface d'administration et désactiver l'UPnP si le remplacement n'est pas immédiat.
  • Surveiller les signatures Mirai et RondoDox dans les sondes IDS, ainsi que les signalements de trafic DDoS sortant depuis le réseau.
  • Intégrer une politique EOL matériel à la gestion de parc pour éviter de découvrir l'obsolescence le jour où un botnet l'exploite.

Comment savoir si mon routeur D-Link est compromis ?

Vérifiez les logs réseau pour des connexions sortantes vers des C2 connus, une augmentation anormale du trafic UDP ou ICMP, et des processus inhabituels si l'accès shell est disponible. Un redémarrage usine suivi du remplacement par un équipement supporté reste la seule réponse fiable, car le firmware peut avoir été altéré de manière persistante.

Pourquoi une CVE de 2025 est-elle exploitée seulement en 2026 ?

Les opérateurs de botnets industrialisent leurs kits par vagues : ils ajoutent régulièrement d'anciennes CVE à leur arsenal quand la rentabilité est prouvée. Akamai rappelle que la CVE-2025-29635 est restée dormante pendant un an avant d'être intégrée à tuxnokill et RondoDox début 2026, à la faveur d'un code d'exploitation stabilisé.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact