L’un des défis centraux dans la traque aux botnets, c’est qu’ils se reconstituent.
Démantelé un jour, un réseau de machines compromises réapparaît sous une autre forme le lendemain, porté par de nouveaux opérateurs.
En 2023, Lumen avait mis fin aux activités d’AVrecon, un botnet qui avait infecté plus de 70 000 routeurs Linux, dont des modèles D-Link DIR-850L et DIR-818LW. Trois ans plus tard, ces mêmes équipements sont de nouveau dans le viseur.
Le 17 juin 2026, les chercheurs de XLab, laboratoire de veille de l’entreprise de cybersécurité chinoise Qianxin, ont publié l’analyse d’un malware jusqu’alors inconnu, baptisé AryStinger. Contrairement aux botnets classiques, conçus pour lancer des attaques par déni de service (DDoS) ou miner de la cryptomonnaie, celui-ci poursuit un objectif plus discret : infiltrer des réseaux cibles en amont d’intrusions, en restant invisible le plus longtemps possible.
Cartographier avant de frapper
L’objectif d’AryStinger est donc la reconnaissance préalable à l’intrusion : chaque routeur infecté devient un « executor », capable de recevoir des tâches fractionnées depuis un serveur de commande : balayage de ports, identification de services, énumération de sous-domaines, et de les exécuter en parallèle avec d’autres nœuds. L’attaquant dispose ainsi d’une infrastructure de cartographie réseau distribuée, efficace et difficile à attribuer.
Le malware existe en deux variantes. La première, écrite en C, exploite les vulnérabilités CVE-2013-3307 et CVE-2016-5681 pour cibler des routeurs D-Link et Linksys anciens.
La seconde, développée en Go et plus récente, s’attaque aux périphériques NAS via CVE-2025-11837. Plus complète, elle intègre des outils de pénétration open source et permet d’exécuter à distance du code. Dans les deux cas, une porte dérobée est déployée sur l’appareil compromis, offrant à l’attaquant un accès persistant.
Selon la télémétrie de Qianxin, plus de 4 300 routeurs sont déjà infectés. La Corée du Sud concentre près de la moitié des victimes, devant la Chine, la Suède, la Malaisie et Singapour. Le modèle DIR-850L représente à lui seul 75 % des appareils touchés.
Actif depuis peut-être 2024
Un détail retient également l’attention des chercheurs : la clé de chiffrement codée en dur dans le malware est « sh_#@!_2024_secret ». L’année suggère que les opérateurs pourraient être actifs depuis au moins deux ans, bien avant la détection initiale de mars 2026. Le taux de détection reste par ailleurs très faible dans les moteurs antivirus classiques.
Pour l’heure, aucune attribution n’a été établie. XLab appelle la communauté à partager ses informations et recommande sans détour de remplacer tout routeur dont le firmware n’a pas été mis à jour depuis plusieurs années. Un appareil oublié dans un coin peut très bien travailler pour quelqu’un d’autre.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Anticipez le futur en vous inscrivant gratuitement à ToujoursPlus, la newsletter tech de référence.