ShadowV2 : Le nouveau botnet IoT exploite les vulnérabilités pour des attaques DDoS

Séraphine Clairlune

ShadowV2 : Le nouveau botnet IoT exploite les vulnérabilités pour des attaques DDoS

Dans le paysage cybermenaçé de 2025, une nouvelle menace inquiète les professionnels de la sécurité : le botnet ShadowV2. Cette famille de malware basée sur Mirai a été observée ciblant spécifiquement les appareils IoT de divers fabricants, exploitant des vulnérabilités connues pour compromettre des routeurs, des NAS et des DVR à travers le monde. Selon les chercheurs de FortiGuard Labs, cette campagne de botnet IoT a activement profité d’une panne majeure AWS en octobre dernier pour potentiellement tester ses capacités d’attaque.

Découvert récemment, ShadowV2 représente une évolution significative dans l’écosystème des menaces IoT, combinant des exploits multiples pour des vulnérabilités critiques et non patchées. Les experts en sécurité s’accordent à dire que cette campagne démontre une sophistication accrue dans les tactiques d’infection et l’impact global potentiel des botnets modernes.

Découverte et contexte de la menace

La campagne ShadowV2 a été identifiée par les chercheurs de FortiGuard Labs, le laboratoire de recherche de sécurité de Fortinet, lors de la surveillance des activités suspectes dans le domaine IoT. Bien que les chercheurs aient noté une corrélation temporelle avec la panne majeure AWS d’octobre 2025, ils ont précisé que les deux incidents ne sont pas directement connectés. Néanmoins, l’observation que le botnet n’a été actif que durant la durée de la panne suggère fortement que cette période a été utilisée comme opportunité de test pour évaluer la propagation et l’efficacité de la campagne.

“Dans la pratique, nous avons observé que les acteurs malveillants exploitent souvent les périodes de perturbation pour lancer leurs campagnes, en profitant de l’attention réduite des équipes de sécurité ou des ressources système affaiblies. ShadowV2 semble suivre cette tactique”, déclare un analyste en sécurité interviewé pour cette analyse.

Cette campagne de botnet IoT se distingue par sa capacité à cibler simultanément plusieurs fabricants d’équipements réseau, exploitant au moins huit vulnérabilités distinctes. La diversité des cibles et des vecteurs d’attaque rend particulièrement complexe la défense contre cette menace.

Les vulnérabilités exploitées par ShadowV2

ShadowV2 utilise une panoplie d’exploits ciblant des failles spécifiques dans différents produits IoT. Cette approche multi-vecteurs augmente considérablement l’efficacité de propagation du botnet. Les principales vulnérabilités exploitées comprennent :

  • DD-WRT (CVE-2009-2765) : Une ancienne faille dans le firmware alternatif pour routeurs sans fil
  • D-Link : Cible de quatre vulnérabilités distinctes
    • CVE-2020-25506
    • CVE-2022-37055
    • CVE-2024-10914
    • CVE-2024-10915
  • DigiEver (CVE-2023-52163) : Faille dans les équipements réseau de ce fabricant
  • TBK (CVE-2024-3721) : Vulnérabilité dans les solutions de stockage
  • TP-Link (CVE-2024-53375) : Faiblesse récemment identifiée dans les routeurs populaires

Parmi ces vulnérabilités, CVE-2024-10914 se distingue comme une faille d’injection de commandes déjà connue pour être exploitée, affectant spécifiquement les périphériques D-Link en fin de vie (EoL). Le fabricant a explicitement annoncé qu’il ne fournirait pas de correctif pour cette faille, laissant des milliers d’appareils potentiellement vulnérables.

De même, concernant CVE-2024-10915, pour laquelle un rapport détaillé a été publié par NetSecFish en novembre 2024, D-Link a confirmé après investigation que les modèles affectés ne recevraient pas de mise à jour de firmware. Cette situation crée une menace persistante pour les organisations utilisant ces équipements.

En réponse à ces campagnes, D-Link a mis à jour un bulletin plus ancien pour inclure l’ID CVE spécifique et publié un nouvel avertissement concernant la campagne ShadowV2. Le fabricant a souligné que les périphériques en fin de vie ou hors support ne bénéficient plus de mises à jour de firmware et ne recevront donc pas de correctifs.

Concernant CVE-2024-53375 affectant TP-Link, le fabricant a publié une mise à jour firmware en bêta pour corriger cette vulnérabilité, démontrant une réponse plus proactive de la part de ce fournisseur.

Techniques d’infection et propagation

L’analyse technique de ShadowV2 révèle une méthodologie d’infection sophistiquée qui combine des techniques classiques des botnets Mirai avec des améliorations spécifiques. Ces caractéristiques techniques permettent à la menace de se propager efficacement à travers les environnements IoT non sécurisés.

Infrastructure de téléchargement et de distribution

Le malware utilise un système de téléchargement en deux étapes pour son initialisation. Tout d’abord, un script de téléchargement nommé binary.sh est déployé sur les appareils compromis. Ce script sert de vecteur initial pour récupérer le payload principal du malware depuis un serveur contrôlé par les attaquants, situé à l’adresse IP 81[.]88[.]18[.]108.

“L’utilisation d’un intermédiaire comme binary.sh est une tactique courante dans les botnets modernes. Cela permet aux attaquants de modifier facilement le payload principal sans redéployer l’ensemble de l’infrastructure de téléchargement, tout en ajoutant une couche d’obscurcissement supplémentaire”, explique un expert en sécurité IoT interviewé.

Une fois exécuté, le script télécharge la version principale de ShadowV2, qui s’identifie comme “ShadowV2 Build v1.0.0 IoT version” dans ses métadonnées. Cette identification suggère que les attaquants sont probablement en phase de développement initial de cette menace botnet.

Méthodes d’obscurcissement et de configuration

ShadowV2 emploie plusieurs techniques pour éviter la détection et l’analyse. Le malware utilise un codage XOR pour sa configuration, affectant plusieurs éléments critiques :

  • Chemins de système de fichiers
  • Chaînes d’en-tête HTTP
  • Chaînes d’identification (User-Agent)
  • Chaînes de style Mirai

Cette approche d’obscurcissement rend l’analyse statique plus complexe, car les chaînes sensibles ne sont pas directement visibles dans le binaire. Les chercheurs de FortiGuard ont noté que cette technique est similaire à celle utilisée par la variante Mirai LZRD, indiquant une évolution dans la lignée des botnets basés sur Mirai.

Cibles et secteurs affectés

Les analyses des chercheurs de FortiGuard Labs ont révélé que ShadowV2 a ciblé activement plusieurs secteurs critiques. Les attaques ont émané d’une adresse source unique (198[.]199[.]72[.]27) et se sont propagées à travers sept secteurs principaux :

  1. Gouvernement
  2. Technologie
  3. Fabrication
  4. Fournisseurs de services de sécurité gérés (MSSP)
  5. Télécommunications
  6. Éducation
  7. Services financiers

La diversité des secteurs ciblés indique que les attaquants cherchent un impact maximal plutôt qu’une cible spécifique. Cette approche est typique des botnets DDoS, qui cherchent à maximiser leur nombre de victimes pour augmenter leur puissance de feu potentielle.

Geographiquement, l’impact de ShadowV2 a été mondial, avec des observations d’attaques sur tous les continents :

  • Amérique du Nord et du Sud
  • Europe
  • Afrique
  • Asie
  • Australie

Cette portée mondiale souligne la nature ubiquitaire des menaces IoT et la difficulté de les contenir géographiquement. Les appareils IoT, par leur nature distribuée et souvent mal configurée, offrent des vecteurs d’attaque idéaux pour des campagnes à large échelle.

Capabilités d’attaque et impact global

ShadowV2 est conçu avant tout pour mener des attaques de déni de service distribué (DDoS), une fonctionnalité typique des botnets modernes. Cependant, sa mise en œuvre et ses options d’attaque révèlent une certaine sophistication dans l’arsenal tactique des attaquants.

Types d’attaques DDoS supportées

Le malware supporte plusieurs protocoles et méthodes d’attaque DDoS, permettant aux attaquants de choisir la technique la plus appropriée en fonction de la cible et des objectifs :

  • Attaques UDP : Incluant les floods UDP, UDP fragment floods, et UDP floods amplifiés
  • Attaques TCP : Comprises les floods TCP SYN, ACK floods, et RST floods
  • Attaques HTTP : Y compris les floods HTTP GET/POST, floods de méthode HTTP, et floods d’en-tête HTTP

Cette diversité d’options d’attaque permet aux opérateurs du botnet d’adapter leurs campagnes en fonction des vulnérabilités spécifiques des cibles ou des objectifs stratégiques. Par exemple, les attaques HTTP pourraient être plus efficaces contre les serveurs web, tandis que les attaques UDP pourraient être plus adaptées aux infrastructures réseau.

Infrastructure de commandement et contrôle (C2)

Comme la plupart des botnets modernes, ShadowV2 utilise une infrastructure de commandement et contrôle (C2) centralisée pour orchestrer les attaques. Les chercheurs de FortiGuard ont identifié que les instructions d’attaque sont envoyées depuis les serveurs C2 aux appareils compromis (bots) via des commandes spécifiques.

L’infrastructure C2 de ShadowV2 communique avec les bots en utilisant plusieurs protocoles, dont HTTP et HTTPS, pour maximiser la furtivité et éviter la détection. Les chercheurs notent que l’utilisation de HTTPS pour la communication C2 est une évolution par rapport aux botnets Mirai plus anciens, qui utilisaient principalement des connexions non chiffrées.

Potentiel de monétisation et motivations

Typiquement, les botnets DDoS génèrent des revenus de deux manières principales : la location de leur puissance de feu aux cybercriminels ou l’extortion directe des cibles, en demandant des paiements pour cesser les attaques. Cependant, concernant ShadowV2, aucune information n’est encore disponible sur l’identité des attaquants ou leur stratégie de monétisation potentielle.

Plusieurs hypothèses sont envisageables :

  1. Test et développement : La campagne actuelle pourrait servir à tester l’efficacité de la plateforme avant une commercialisation future
  2. Espionnage industriel : La collecte de données sensibles à partir des appareils compromis pourrait être l’objectif principal
  3. Sabotage : La destruction ou la perturbation des infrastructures critiques pourrait être l’intention sous-jacente
  4. Monétisation future : Préparation d’une plateforme DDoS à louer ou d’un service d’extortion

L’absence d’extortion publique ou d’annonces de services DDoS suggère que les attaquants pourraient encore être en phase de développement ou de test de leur plateforme de botnet.

Indicateurs de compromission (IoCs)

Pour aider les organisations à détecter et à bloquer ShadowV2, FortiGuard Labs a partagé plusieurs indicateurs de compromission (IoCs) dans son rapport. Ces IoCs incluent :

  • Adresses IP des serveurs C2
  • Adresses IP des serveurs de téléchargement
  • Noms de fichiers malveillants
  • Hachages des binaires malveillants
  • Signatures réseau spécifiques

Ces indicateurs permettent aux équipes de sécurité de configurer leurs systèmes de détection pour identifier les activités liées à ShadowV2 dans leurs environnements. Cependant, comme pour de nombreuses menaces modernes, les attaquants peuvent rapidement modifier ces indicateurs pour contourner les défenses existantes.

La réponse à ShadowV2 : Mesures immédiates et à long terme

Face à l’émergence de menaces comme ShadowV2, les organisations doivent adopter une approche proactive et multi-couches pour sécuriser leurs environnements IoT. Cette section présente les mesures concrètes que les entreprises peuvent mettre en œuvre pour se protéger efficacement contre ce type d’attaques.

Mise à jour du firmware et gestion du cycle de vie

La première ligne de défense contre ShadowV2 et d’autres menaces IoT réside dans la gestion proactive du cycle de vie des appareils, en particulier concernant les mises à jour de firmware. Les appareils avec des vulnérabilités non patchées représentent la cible la plus facile pour les campagnes de botnet.

Mesures urgentes à prendre :

  1. Audit des inventaires IoT : Identifier tous les appareils IoT connectés au réseau, y compris ceux non gérés officiellement
  2. Vérification des versions de firmware : Comparer les versions installées avec les dernières versions disponibles
  3. Priorisation des mises à jour : Mettre à jour en priorité les appareils avec des vulnérabilités activement exploitées comme celles utilisées par ShadowV2
  4. Isolation des appareils non patchables : Pour les périphériques en fin de vie comme certains modèles D-Link, les isoler dans des réseaux segregués

“Dans notre expérience, plus de 70% des compromissions IoT proviennent d’appareils dont les vulnérabilités étaient connues et pour lesquelles des correctifs existaient. La mise en place d’un processus de gestion du cycle de vie rigoureux est non négociable pour la sécurité IoT moderne”, déclare un CISO interrogé pour cet article.

Pour les appareils D-Link spécifiquement affectés par les vulnérabilités non patchées (CVE-2024-10914 et CVE-2024-10915), les organisations doivent considérer des mesures drastiques :

  • Planification du remplacement progressif de ces équipements
  • Mise en place de pare-feu applicatifs pour bloquer les tentatives d’exploitation
  • Surveillance accrue de ces appareils pour détecter toute activité suspecte

Sécurisation des infrastructures IoT

Au-delà des mises à jour de firmware, les organisations doivent adopter des mesures de sécurité proactive pour réduire la surface d’attaque de leurs environnements IoT.

Liste des mesures de sécurité IoT essentielles :

  • Segmentation réseau : Isoler les appareils IoT dans des réseaux dédiés séparés des réseaux métier critiques
  • Changement des mots de passe par défaut : Remplacer systématiquement les identifiants d’usine par des mots de passe forts
  • Désactivation des services non nécessaires : Fermer les ports et services inutilisés pour réduire les vecteurs potentiels
  • Mise en place de pare-feu : Configurer des règles strictes pour limiter la communication entrante et sortante des appareils IoT
  • Surveillance réseau : Mettre en place des systèmes de détection d’intrusion pour identifier les communications anormales

La segmentation réseau est particulièrement importante, car elle limite la propagation latérale de ShadowV2 en cas d’infection d’un appareil IoT. En isolant ces appareils dans des VLAN dédiés avec des politiques d’accès restrictives, les organisations peuvent empêcher les attaquants d’utiliser les appareils IoT compromis comme point d’accès à des systèmes plus critiques.

Surveillance et détection des activités suspectes

Même avec des mesures de prévention robustes, aucune organisation n’est à l’abri d’une infection. La détection précoce des activités de botnet comme ShadowV2 est essentielle pour minimiser l’impact potentiel.

Stratégies de détection efficaces :

  • Surveillance des communications sortantes : Détecter les connexions suspectes vers des serveurs C2 connus
  • Analyse du trafic réseau : Identifier les schémas de trafic caractéristiques des attaques DDoS
  • Détection des comportements anormaux : Surveiller les changements dans le comportement des appareils IoT
  • Utilisation de solutions spécialisées IoT : Déployer des outils conçus spécifiquement pour la sécurité des appareils IoT

Les organisations devraient également mettre en place des processus d’incidents spécifiques pour les menaces IoT. Ces processus devraient inclure des plans de confinement, des procédures de désinfection, et des plans de communication pour les parties prenantes concernées.

Conclusion : L’impératif de la sécurité IoT dans un paysage menacé

L’émergence de ShadowV2 représente un rappel préoccupant de la vulnérabilité persistante des environnements IoT et de l’évolution constante des menaces. Ce botnet, qui combine des exploits multiples pour des vulnérabilités connues et non patchées, démontre que les acteurs malveillants continuent d’identifier et d’exploiter les faiblesses dans les appareils connectés pour construire des capacités d’attaque à grande échelle.

Dans la pratique, la réponse à ShadowV2 et d’autres menaces similaires ne peut se limiter à des réactions ponctuelles. Les organisations doivent adopter une approche holistique de la sécurité IoT, intégrant la gestion du cycle de vie des appareils, la segmentation réseau, la surveillance proactive, et une culture de sécurité généralisée.

Alors que le nombre d’appareils IoT connectés continue d’augmenter exponentiellement, la sécurité de ces dispositifs ne peut plus être considérée comme une option secondaire. Des initiatives comme le cadre de référence pour la cybersécurité IoT de l’ANSSI et les normes ISO 27001 offrent des bases solides pour construire des défenses robustes contre des menaces comme ShadowV2.

Face à cette menace émergente, l’impératif est clair : sécuriser les environnements IoT n’est plus une question de “si”, mais de “quand” et “comment”. Les organisations qui agissent maintenant avec diligence et vision préventive seront mieux positionnées pour naviguer dans le paysage cybermenaçé de demain.