Une nouvelle attaque cyber menace les appareils connectés : des pirates informatiques exploitent une vulnérabilité zero-day dans les routeurs Cambium Networks cnPilot pour propager un botnet dévastateur appelé AIRASHI. Ce dernier est utilisé pour orchestrer des attaques DDoS (deni de service distribué), ciblant à la fois des infrastructures critiques et des dispositifs IoT (Internet of Things). Les chercheurs en cybersécurité de QiAnXin XLab signalent que cette faille est exploitée activement depuis juin 2024, et les premières analyses laissent entrevoir un impact conséquent.
Une zéro-day exploitée pour déployer le botnet AIRASHI
Les cybercriminels exploitent une faille de sécurité non spécifiée présente dans les routeurs cnPilot de Cambium Networks. Cette vulnérabilité, encore tenue confidentielle pour éviter de nouveaux abus, a déjà permis de déployer une variante du botnet AISURU, connue sous le nom de AIRASHI. Le botnet est régulièrement mis à jour, indiquant une stratégie sophistiquée des groupes à l’origine de ces attaques.
Selon QiAnXin, les pirates utilisent également diverses autres vulnérabilités connues pour renforcer le botnet. Parmi celles-ci figurent des failles bien documentées comme CVE-2013-3307 ou CVE-2023-28771, mais aussi des failles affectant des dispositifs IoT comme les caméras AVTECH et les DVRs Shenzhen TVT. La flexibilité des cyber-pirates à exploiter ces vulnérabilités à large spectre renforce la puissance et la portée de leurs actions malveillantes.
Les cibles visées et les régions d’attaque
La majorité des appareils compromis se trouvent dans des pays comme le Brésil, la Russie, le Vietnam et l’Indonésie. Cependant, les principales cibles des attaques DDoS incluent des infrastructures aux États-Unis, en Chine, en Pologne et une fois de plus en Russie. Une dynamique géographique qui illustre la portée internationale de cette cyber-opération.
Un botnet à large capacité d’attaque
Le botnet AIRASHI se distingue par sa force de frappe. Selon les analyses de XLab, le réseau malveillant est capable d’atteindre une capacité d’attaque stable de 1 à 3 térabits par seconde (Tbps), comme en témoignent les tests publiés par les attaquants eux-mêmes sur Telegram. Cette capacité massive pose un risque considérable pour les grandes infrastructures numériques.
Les évolutions de AIRASHI et ses fonctionnalités avancées
AIRASHI n’est pas un botnet ordinaire. Il comporte deux variantes principales : AIRASHI-DDoS, dédiée aux attaques par déni de service et permettant l’exécution de commandes arbitraires, et AIRASHI-Proxy, qui intègre des fonctionnalités de proxy. Cette dernière laisse supposer que les attaquants diversifient leurs activités, notamment vers des services de relais de trafic.
L’architecture de communication de ce botnet est particulièrement robuste. Les échanges entre les machines infectées et les serveurs de commande (C2) utilisent des protocoles de cryptage avancés comme HMAC-SHA256 et CHACHA20, compliquant la détection et le blocage des flux malveillants. Ces mécanismes confèrent à AIRASHI une résilience accrue face aux efforts de démantèlement par les défenseurs.
Un renforcement continu des capacités
Initialement dérivé du botnet AISURU, AIRASHI a connu plusieurs phases d’amélioration en 2024, avec des mises à jour régulières et des optimisations. L’introduction de fonctionnalités comme les proxys SOCKS5 ou encore de nouveaux protocoles réseau démontre une adaptation constante afin de maximiser le contrôle des dispositifs infectés, tout en minimisant la détection.
Vers une exploitation élargie des IoT
Plus inquiétant encore, AIRASHI met en lumière une tendance croissante parmi les cybercriminels : l’utilisation des appareils IoT comme vecteurs initiaux d’infections massives. Ces appareils, souvent mal sécurisés, favorisent la création de botnets à grande échelle capables de causer des pannes massives ou de servir de relais dans des attaques plus complexes.
Des attaques P2P et de nouveaux frameworks
En parallèle des activités d’AIRASHI, d’autres tendances émergent dans le paysage des cybermenaces. QiAnXin a révélé l’existence d’un malware, alphatronBot, exploitant un protocole peer-to-peer (P2P). Cette approche décentralisée facilite la communication entre nœuds infectés sans dépendre d’un serveur unique, compliquant ainsi les efforts de neutralisation.
Un autre outil dévoyé, DarkCracks, exploite des sites WordPress et GLPI compromis pour agir comme zone relais de téléchargement ou comme serveur de commande. Ces stratégies accentuent l’urgente nécessité pour les organisations de protéger leurs dispositifs réseau et applications web.
Pour se prémunir contre ces menaces, les entreprises doivent adopter une stratégie proactive. CyberCare offre des services personnalisés pour détecter, protéger et éradiquer les cybermenaces, garantissant ainsi une cybersécurité robuste et adaptée à chaque infrastructure. Contactez nos experts pour une évaluation complète de vos dispositifs connectés.