Un groupe de pirates Infecte des routeurs TP-Link.

Les pirates infectent le micrologiciel du routeur TP-Link pour attaquer les entités de l’UE.

Un groupe de piratage parrainé par l’État chinois nommé « Camaro Dragon » infecte les routeurs TP-Link résidentiels avec un malware personnalisé « Horse Shell » utilisé pour attaquer les organisations européennes des affaires étrangères. Le logiciel malveillant de porte dérobée est déployé dans un micrologiciel personnalisé et malveillant conçu spécifiquement pour les routeurs TP-Link afin que les pirates puissent lancer des attaques semblant provenir de réseaux résidentiels. (Sources)

L’analyse de CheckPoint complète de ces attaques a révélé un implant de micrologiciel malveillant conçu pour les routeurs TP-Link. L’implant comporte plusieurs composants malveillants, y compris une porte dérobée personnalisée qui permet aux attaquants de maintenir un accès persistant, de construire une infrastructure anonyme et de permettre un mouvement latéral dans les réseaux compromis. La méthode de déploiement des images du micrologiciel sur les routeurs infectés n’est toujours pas claire, de même que son utilisation et son implication dans les intrusions réelles. Il convient de noter que ce type d’attaque ne vise pas spécifiquement les réseaux sensibles, mais plutôt les réseaux résidentiels et domestiques classiques. (Sources)

Les pirates recherchent les routeurs mal sécurisés en les ciblant avec des campagnes de botnets afin de réaliser des attaques par déni de service (DDoS) ou des opérations de cryptominage.

Un botnet (de l'anglais, contraction de « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches.  Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s'est étendu aux réseaux de machines zombies, utilisés pour des usages malveillants, comme l'envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS). Parmi les botnets les plus connus, on trouve le code malveillant mirai, qui permet de lancer des attaques par déni de service (DDoS) via des objets connectés. Il scanne les ports Telnet ouverts et tente de se connecter à l'aide d'une liste prédéfinie d'informations d'identification par défaut ou faibles. En décembre 2021, Google met un terme à Glupteba, un botnet constitué d’un million de machines. Ce large réseau était utilisé en matière de cyberattaque via des infections par ransomwares. En août 2023, démantèlement de l’infrastructure du réseau de botnet malveillant Qakbot/Qbot.


Le déni de service (DDoS) est une attaque malveillante visant à rendre un service indisponible pour les utilisateurs légitimes en submergeant le serveur ciblé avec un grand volume de trafic. Les attaquants exploitent souvent des réseaux de machines infectées par des logiciels malveillants, appelées botnets, pour coordonner ces attaques massives. Les conséquences du DDoS peuvent être graves, allant de la perturbation temporaire des services en ligne à des dommages financiers considérables pour les entreprises.

Pour se protéger contre de telles attaques par déni de service, les organisations doivent mettre en œuvre des solutions de détection et de mitigation efficaces ainsi que des plans de réponse aux incidents. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité de catégorie "Zero Day" ou l'absence de mises à jour automatiques.

Dans le cas présent de TP-Link, il est fortement conseillé aux utilisateurs de mettre à jour le micrologiciel de leur routeur afin de corriger les vulnérabilités existantes. A titre préventif s’imposent aussi un changement d’identifiants de connexion de l’administrateur (mots de passe) et une désactivation de l’accès à distance.

Un mot de passe est un mot ou une série de caractères utilisés comme moyen d'authentification pour prouver son identité lorsque l'on désire accéder à un lieu protégé, à un compte informatique, un ordinateur, un logiciel ou à un service dont l'accès est limité et protégé. Le mot de passe doit être tenu secret pour éviter qu'un tiers non autorisé puisse accéder à la ressource ou au service. C'est une méthode parmi d'autres pour vérifier qu'une personne correspond bien à l'identité déclarée. Il s'agit d'une preuve que l'on possède et que l'on communique au service chargé d'autoriser l'accès. Selon la CNIL, Pour constituer un mot de passe fort, il faut douze caractères ou plus et que votre phrase contienne au moins un nombre, une majuscule, un signe de ponctuation ou un caractère spécial (dollar, dièse, ...) et une douzaine de mots. L'authentification multifacteur (MFA) est plus sûr que le mot de passe