Des hackers exploitent une faille sur des routeurs D-Link en fin de vie pour y déployer une variante du botnet Mirai




Privés de suivi de sécurité, des routeurs D-Link obsolètes sont aujourd’hui exploités pour déployer tuxnokill, une variante de Mirai utilisée dans plusieurs types d’attaques par déni de service.


Au début du mois de mars, Akamai a repéré dans son réseau de honeypots, ces systèmes leurres conçus pour capter les attaques en circulation, des tentatives d’exploitation visant des routeurs D-Link DIR-823X.

Les assaillants s’appuient sur CVE-2025-29635, une faille divulguée fin mars 2025, pour exécuter des commandes à distance sur l’appareil et lui faire télécharger puis lancer un script malveillant.

Sur ces modèles déclarés en fin de vie par le constructeur depuis septembre 2025, la vulnérabilité sert désormais à déployer une variante de Mirai et à grossir les rangs du botnet.


Une porte d’entrée toute trouvée pour Mirai

Dans le détail, CVE-2025-29635 (CVSS 8.8) est une faille d’injection de commandes qui touche les routeurs D-Link DIR-823X équipés des firmwares 240126 et 24082.

Elle permet à un attaquant d’envoyer à l’appareil une requête piégée via son interface d’administration, de sorte qu’une donnée contrôlée de l’extérieur soit intégrée à une commande système puis exécutée par le routeur.

Une fois cet accès obtenu, il peut lui faire récupérer puis lancer un script malveillant chargé d’installer la variante du botnet Mirai.

La souche déployée, tuxnokill, relie ensuite le routeur compromis à une infrastructure de commande et contrôle, depuis laquelle il peut recevoir des instructions et être mobilisé dans plusieurs types d’attaques DDoS.

Les chercheurs citent notamment des floods TCP SYN, ACK et STOMP, utilisés pour saturer une cible en multipliant les requêtes de connexion, ainsi que des attaques UDP, fondées sur l’envoi massif de paquets, et HTTP NULL, qui visent à submerger un service web.

D’après Akamai, cette campagne ne cible pas seulement les routeurs D-Link, les équipes de recherche ayant également observé des tentatives comparables contre des TP-Link Archer AX21, vulnérable à la faille CVE-2023-1389, ainsi que contre des ZTE ZXV10 H108L, exposés à une autre vulnérabilité d’exécution de code à distance documentée il y a treize ans.


Des routeurs obsolètes, donc durablement exposés

Problème, les routeurs ciblés par tuxnokill ont tous été déclarés obsolètes, et ne bénéficient donc plus d’un suivi de sécurité actif.

Faute de patch disponible, le plus raisonnable consiste à remplacer votre matériel vieillissant pour éviter de prendre des risques inutiles.

En attendant, il faut réduire au maximum l’exposition de l’appareil, en désactivant toute administration à distance, en s’assurant que l’interface de gestion n’est pas accessible depuis Internet, puis en remplaçant les identifiants par défaut par un mot de passe solide et unique.

Gardez enfin un œil sur les signes de compromission les plus visibles, comme des modifications inattendues de configuration, des redémarrages inhabituels ou une activité réseau qui ne correspond pas à l’usage normal du routeur.