Un nouveau danger se propage sur Internet : une variante du botnet Flodrix exploite une faille critique sur les serveurs IA Langflow, permettant aux cybercriminels de mener des attaques DDoS massives. Si vous gérez une infrastructure web ou êtes responsable de la cybersécurité d’une entreprise, restez vigilant face à cette campagne active d’exploitation de vulnérabilités. Cette attaque met en lumière les mécanismes des botnets modernes et comment ils utilisent l’exécution de code à distance (RCE) pour compromettre des systèmes exposés en ligne.
Une faille Langflow activement exploitée pour infecter des serveurs
Une vulnérabilité critique sans authentification
Les chercheurs en cybersécurité de Trend Micro ont détecté une série d’attaques ciblant une faille critique identifiée sous le nom CVE-2025-3248, notée 9.8 sur l’échelle CVSS. Cette vulnérabilité Langflow permet aux attaquants non authentifiés d’exécuter du code arbitraire à l’aide de simples requêtes HTTP malveillantes.
Langflow, un framework Python destiné aux applications d’intelligence artificielle, a corrigé la faille en mars 2025 avec la publication de la version 1.3.0. Mais les nombreuses instances encore non mises à jour sont aujourd’hui des cibles faciles pour les cybercriminels.
Une attaque détectée en conditions réelles
Le mois dernier, la CISA a émis une alerte suite à l’exploitation active de la CVE-2025-3248. Le SANS Technology Institute a également observé des tentatives sur ses honeypots, validant ainsi une vague d’attaques automatisées qui balaye le web à la recherche de serveurs Langflow vulnérables exposés publiquement.
Le botnet Flodrix utilise cette faille pour lancer des attaques DDoS
Un téléchargement automatisé du malware via script shell
Grâce à un script de téléchargement injecté sur les serveurs compromis, les attaquants peuvent installer la dernière version du malware Flodrix. Le script récupère la charge utile depuis l’adresse 80.66.75[.]121:25565 et l’exécute immédiatement sur la machine cible. L’absence de validation des entrées et la non-utilisation de sandboxing dans Langflow permettent aux attaquants de lancer ces scripts sans résistance.
Commandes à distance et attaques distribuées
Une fois implanté, Flodrix établit une communication avec un serveur distant via le protocole TCP pour recevoir ses ordres. Il est conçu pour mener des attaques par déni de service distribué (DDoS) contre les adresses IP ciblées par les opérateurs du botnet. Le malware inclut également la prise en charge du réseau TOR, renforçant l’anonymat des échanges avec les serveurs de commande et contrôle (C2).
Un botnet en constante évolution basé sur le malware LeetHozer
Des capacités d’offuscation avancées
Flodrix représente une évolution du botnet LeetHozer, déjà lié au groupe Moobot. Cette nouvelle version se distingue par sa capacité à s’auto-effacer, limiter les traces numériques post-infection et compliquer l’analyse en chiffrant les adresses des serveurs C2. Elle analyse également l’arborescence /proc/ pour obtenir des informations sur les processus en cours, ce qui peut aider à éviter la détection ou préparer des étapes d’infection plus ciblées.
Multiples scripts et développement actif
Les chercheurs de Trend Micro ont trouvé plusieurs scripts différents hébergés sur la même infrastructure que celle utilisée pour distribuer Flodrix. Cette observation suggère que la campagne malveillante est toujours en cours de développement, les attaquants testant différentes variantes pour maximiser le taux de succès.
Se défendre contre ce type d’attaque
Mettre à jour et surveiller ses environnements IA
Il est impératif de mettre à jour Langflow vers la version 1.3.0 ou supérieure et d’implémenter des mécanismes de filtrage robustes pour toutes les applications exposées publiquement. La faille CVE-2025-3248 démontre une nouvelle fois que les frameworks utilisés dans les environnements d’intelligence artificielle ne sont pas exempts de risques et doivent être traités avec le même niveau de sécurité qu’une application web classique.
Comprendre les tactiques d’attaque avec les bons outils
Pour les professionnels et passionnés souhaitant mieux comprendre et anticiper ce type de menace, notre livre pour apprendre à hacker propose une approche pédagogique des techniques de piratage éthique, y compris les botnets, l’exploitation de failles RCE, les scripts d’infection, et bien plus encore. Connaître les méthodes des attaquants est la première étape pour les contrer efficacement.
CyberCare peut vous aider à prévenir ce type de menace grâce à ses services de cybersécurité managés, incluant la détection des vulnérabilités, la surveillance des infrastructures IA et la réponse aux incidents de sécurité.
