Nouvelle campagne d’une variante du botnet Mirai.

Nouvelle campagne d’une variante du botnet Mirai.

Les experts en sécurité alertent sur une campagne massive routeur du malware DDoS IZ1H9, une variante du botnet Mirai. La variante du malware Mirai DDoS étend ses cibles avec 13 exploits de routeur. Un botnet de logiciels malveillants DDoS (déni de service distribué) basé sur Mirai et suivi sous le nom d’IZ1H9 a ajouté treize nouvelles charges utiles pour cibler les routeurs basés sur Linux et les routeurs de D-Link, Zyxel, TP-Link, TOTOLINK et autres. Les chercheurs de Fortinet rapportent avoir observé un pic des taux d’exploitation vers la première semaine de septembre, atteignant des dizaines de milliers de tentatives d’exploitation contre des appareils vulnérables.

Selon Fortinet, “Sur la base du nombre de déclencheurs enregistrés par nos signatures IPS, il est évident que le pic d’exploitation s’est produit le 6 septembre, avec un nombre de déclencheurs allant de plusieurs milliers à des dizaines de milliers. Cela met en évidence la capacité de la campagne à infecter les appareils vulnérables et à étendre considérablement son botnet grâce à l’utilisation rapide du code d’exploitation récemment publié, qui englobe de nombreux CVE. La charge utile injectée dans certaines vulnérabilités vise à obtenir un téléchargeur de script shell « l.sh » à partir de hxxp://194[.]180[.]48[.]100. Lorsque le script est exécuté, il commence par supprimer les journaux pour masquer ses actions. Il télécharge et exécute ensuite divers clients bots pour répondre à diverses architectures Linux. Dans la dernière étape, le téléchargeur de script shell obstrue les connexions réseau sur plusieurs ports.

Découvert en août 2018, IZ1H9 est l’une des variantes Mirai les plus actives. Tout comme le Mirai d’origine, le client botnet IZ1H9 vérifie d’abord la partie réseau de l’adresse IP de l’appareil infecté. Le client évite l’exécution d’une liste de blocages IP, notamment les réseaux gouvernementaux, les fournisseurs d’accès Internet et les grandes entreprises technologiques. Le client botnet rend sa présence visible en imprimant le mot « Darknet » sur la console.


Le déni de service (DDoS) est une attaque malveillante visant à rendre un service indisponible pour les utilisateurs légitimes en submergeant le serveur ciblé avec un grand volume de trafic. Les attaquants exploitent souvent des réseaux de machines infectées par des logiciels malveillants, appelées botnets, pour coordonner ces attaques massives. Les conséquences du DDoS peuvent être graves, allant de la perturbation temporaire des services en ligne à des dommages financiers considérables pour les entreprises.

Pour se protéger contre de telles attaques par déni de service, les organisations doivent mettre en œuvre des solutions de détection et de mitigation efficaces ainsi que des plans de réponse aux incidents. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité de catégorie "Zero Day" ou l'absence de mises à jour automatiques.


Un botnet (de l'anglais, contraction de « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches.  Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s'est étendu aux réseaux de machines zombies, utilisés pour des usages malveillants, comme l'envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS). Parmi les botnets les plus connus, on trouve le code malveillant mirai, qui permet de lancer des attaques par déni de service (DDoS) via des objets connectés. Il scanne les ports Telnet ouverts et tente de se connecter à l'aide d'une liste prédéfinie d'informations d'identification par défaut ou faibles. En décembre 2021, Google met un terme à Glupteba, un botnet constitué d’un million de machines. Ce large réseau était utilisé en matière de cyberattaque via des infections par ransomwares. En août 2023, démantèlement de l’infrastructure du réseau de botnet malveillant Qakbot/Qbot.


Fortinet est une multinationale américaine dont le siège social se situe à Sunnyvale. Elle conçoit et commercialise, entre autres, des logiciels, équipements et services de cybersécurité tels que des pare-feux, anti-virus, systèmes de prévention d’intrusion et de sécurité des terminaux. La Fortinet Security Fabric réunit les concepts de convergence et de consolidation afin de fournir une protection complète en matière de cybersécurité pour l'ensemble des utilisateurs, des appareils et des applications, et ce, sur toutes les périphéries de réseau.

Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut