Le botnet KadNap cible des milliers de routeurs ASUS
Des chercheurs en sécurité ont identifié une campagne de botnet active baptisée KadNap, qui compromet systématiquement des routeurs ASUS et d’autres équipements réseau périphériques, en transformant les appareils infectés en nœuds proxy utilisés pour acheminer du trafic cybercriminel. La campagne a été détectée pour la première fois début mars 2026, après que des analystes ont remarqué des schémas de trafic anormaux provenant de routeurs domestiques et de PME sur plusieurs continents.
Selon les chercheurs, plus de 14 000 appareils ont déjà été confirmés comme compromis. Les infections se concentrent principalement en Amérique du Nord, en Europe et en Asie, ciblant en priorité les routeurs accessibles avec des identifiants par défaut ou des firmwares non patchés.
Comment KadNap exploite les vulnérabilités des routeurs ASUS
La chaîne d’attaque utilisée par KadNap combine des techniques de contournement d’authentification, des attaques par force brute et des vulnérabilités connues d’injection de commandes. Les chercheurs notent que la campagne exploite des failles similaires à la CVE-2023-39780, une vulnérabilité d’injection de commandes affectant plusieurs gammes de routeurs ASUS, ainsi que des méthodes de contournement d’authentification sans identifiant CVE attribué publiquement au moment de la divulgation.
Les propriétaires de routeurs ASUS doivent également être vigilants concernant la CVE-2025-2492, une vulnérabilité critique de contrôle d’authentification avec un score CVSS de 9,2, affectant les routeurs dotés de la fonctionnalité AiCloud et pouvant permettre une exécution de code à distance non autorisée. ASUS a pressé ses utilisateurs d’appliquer les dernières mises à jour firmware et de désactiver AiCloud si cette fonction n’est pas indispensable.
Une backdoor qui résiste aux redémarrages et aux mises à jour
L’un des aspects les plus préoccupants de la campagne KadNap est sa persistance. Une fois un routeur compromis, le malware stocke les modifications de configuration contrôlées par l’attaquant dans la mémoire non volatile (NVRAM), ce qui signifie que la backdoor reste active même après un redémarrage complet ou l’application d’une mise à jour firmware.
Les chercheurs ont également observé que KadNap active l’accès SSH sur des ports non standard — notamment le port TCP 53282 — et injecte des clés publiques contrôlées par l’attaquant pour un accès à distance persistant. Les fonctions de journalisation et certaines protections de sécurité intégrées sont ensuite désactivées, rendant la détection forensique bien plus difficile pour les utilisateurs finaux et les équipes IT des petites structures.
Un réseau proxy au service de la cybercriminalité
Une fois intégrés au botnet, les routeurs ASUS compromis sont transformés en serveurs proxy masquant l’origine réelle du trafic malveillant. Cette infrastructure est exploitée pour faciliter diverses activités criminelles : fraudes à grande échelle, attaques de type credential stuffing, vol de données et services d’anonymisation pour marchés illégaux.
Les routeurs communiquent avec des serveurs de commande et de contrôle via des canaux chiffrés en imitant des schémas de trafic légitimes, rendant la détection réseau difficile sans outils de surveillance dédiés. La plupart des utilisateurs domestiques et des TPE ne constateront aucune dégradation notable des performances, faisant de ce botnet une infrastructure discrète particulièrement efficace sur le long terme.
Pourquoi les routeurs ASUS sont une cible de choix
Les équipements réseau périphériques comme les routeurs domestiques et professionnels sont des cibles de choix pour les opérateurs de botnets : ils restent connectés en permanence, échappent au périmètre de sécurité de la plupart des outils de détection endpoint, et sont rarement mis à jour ou surveillés par leurs propriétaires. ASUS détient une part significative du marché grand public et PME, faisant de ses appareils une cible à haute valeur pour les campagnes nécessitant du volume.
Les experts en sécurité soulignent que même les routeurs disposant du dernier firmware peuvent rester backdoorés s’ils ont été compromis avant l’application de la mise à jour, le mécanisme de persistance NVRAM de KadNap n’étant pas supprimé par un simple flash firmware sans réinitialisation d’usine complète.
Que faire immédiatement si vous avez un routeur ASUS
Les chercheurs en sécurité recommandent les actions suivantes pour tous les propriétaires de routeurs ASUS :
- Appliquer immédiatement la dernière mise à jour firmware disponible depuis le portail officiel ASUS.
- Effectuer une réinitialisation complète en cas de suspicion de compromission — un simple redémarrage ne supprimera pas la backdoor.
- Désactiver AiCloud et l’administration à distance si ces fonctionnalités ne sont pas activement utilisées.
- Remplacer les identifiants par défaut par des mots de passe forts et uniques pour le panneau d’administration et les réseaux Wi-Fi.
- Vérifier les paramètres SSH et désactiver l’accès SSH si celui-ci n’est pas nécessaire.
- Activer la journalisation du routeur et analyser le trafic sortant à la recherche de connexions anormales.
ASUS n’a pas encore publié d’avis spécifique concernant la campagne KadNap, mais les recommandations existantes autour de la CVE-2025-2492 et les bonnes pratiques générales de sécurisation des routeurs s’appliquent. Les utilisateurs qui suspectent une compromission doivent effectuer une réinitialisation d’usine avant d’appliquer le firmware mis à jour.
