Vulnérabilités et Alertes

Alerte du FBI : Botnet BADBOX 2.0

by  • 

Analyse et implications pour les entreprises

Le 5 juin 2025, le FBI a émis un bulletin d’alerte (Public Service Announcement I-060525-PSA) concernant un botnet baptisé BADBOX 2.0.

J’ai pris connaissance de cette alerte qui met en garde contre des cybercriminels exploitant des appareils de l’Internet des objets (IoT) connectés aux réseaux domestiques pour mener des activités illégales via le botnet BADBOX 2.0. Plus concrètement, les attaquants ciblent des équipements variés – boîtiers TV de streaming, vidéoprojecteurs numériques, systèmes GPS/infodivertissement automobiles, cadres photo connectés, etc. – souvent d’entrée de gamme et majoritairement fabriqués en Chine.

Ces dispositifs sont détournés à l’insu de leurs propriétaires et intégrés dans un réseau d’appareils infectés. Le FBI précise que les criminels parviennent à compromettre ces appareils soit en y préinstallant un logiciel malveillant avant l’achat par l’utilisateur, soit en les infectant lors du téléchargement d’applications requises contenant des portes dérobées pendant le processus d’installation.

Une fois connectés au réseau domestique, ces appareils compromis deviennent des relais du botnet BADBOX 2.0 et sont utilisés comme proxies résidentiels pour dissimuler des activités malveillantes.

Cette alerte fait suite à des opérations précédentes sur le même botnet. BADBOX 2.0 a en effet été découvert après la perturbation de la campagne BADBOX initiale en 2024. Le botnet originel (identifié en 2023) compromise principalement des appareils Android infectés en usine avant leur vente.

Il était déjà notable, mais ne comptait que quelques dizaines de milliers d’appareils compromis d’après les estimations. En revanche, BADBOX 2.0 représente une montée en puissance considérable : il infecte des millions d’appareils à travers le monde, profitant de nouvelles méthodes d’infection et d’une plus large distribution.

Le FBI souligne que BADBOX 2.0 élargit les vecteurs d’attaque puisqu’il peut aussi contaminer les dispositifs lors du téléchargement d’applications malveillantes issues de marketplaces non officielles (en plus des infections “supply chain” à la source). En somme, il s’agit d’une campagne d’une ampleur inédite touchant l’écosystème IoT grand public, suffisamment préoccupante pour justifier une alerte fédérale urgente.

Analyse technique du botnet BADBOX 2.0 et ses origines

D’un point de vue technique, BADBOX 2.0 est le successeur direct de la première campagne BADBOX. Après le démantèlement partiel de BADBOX fin 2024 par les autorités (notamment grâce à une intervention de la police allemande), les opérateurs malveillants ont fait évoluer leurs tactiques. BADBOX 2.0 représente une adaptation majeure de l’opération initiale, avec des capacités étendues et une échelle bien supérieure. Là où BADBOX version 1 se limitait surtout à des backdoors implantées en usine sur des appareils Android bon marché, BADBOX 2.0 combine plusieurs mécanismes d’infection pour assurer sa propagation.

Les chercheurs en sécurité (notamment l’équipe Satori de HUMAN Security) ont mis en évidence trois vecteurs principaux de compromission :

  • Compromission en usine : le malware est pré-installé sur l’appareil avant même l’achat (backdoor implantée au niveau de la chaîne d’approvisionnement).
  • Compromission à l’activation : au premier démarrage, l’appareil contacte un serveur de commande et contrôle (C2) et télécharge un logiciel malveillant qui installe la porte dérobée.
  • Compromission par application tierce : l’appareil est infecté lorsque l’utilisateur installe une application vérolée depuis un magasin d’applications non officiel, souvent lors de la configuration initiale (par exemple une app de streaming “gratuite” hors Google Play).

Ces portes dérobées multiples permettent aux attaquants de prendre le contrôle distant des appareils infectés. BADBOX 2.0 s’appuie sur le système d’exploitation Android (notamment des dérivés AOSP dépourvus des contrôles de Google) et contourne les protections habituelles.

Dans bien des cas, les victimes sont amenées à désactiver les mécanismes de sécurité comme Google Play Protect afin d’installer des applications malicieuses imitant des logiciels légitimes (technique du « faux jumeau »).

Ainsi, un utilisateur à la recherche de contenu streaming “gratuit” peut être incité à installer une APK douteuse en désactivant les garde-fous, ce qui ouvre grand la porte au malware.

BADBOX 2.0 trouve ses origines dans des groupes de menace sophistiqués qui combinent fraude financière à grande échelle et potentiellement espionnage. Des recherches approfondies (Google, HUMAN Security, Trend Micro…) ont révélé l’implication de plusieurs groupes coordonnés derrière l’infrastructure BADBOX 2.0, avec des liens possibles vers des acteurs établis.

Certains indices suggèrent une connexion avec des fournisseurs de firmware tiers d’origine chinoise, voire avec des groupes APT connus (tels que Chengdu 404 ou APT41), mêlant objectifs lucratifs et espionnage stratégique. Autrement dit, BADBOX 2.0 n’est pas le fait d’un simple groupuscule isolé, mais potentiellement d’une opération criminelle hautement organisée, disposant d’accès au niveau de la fabrication des appareils et de moyens sophistiqués pour opérer à l’échelle mondiale.

Cette industrialisation de la compromission matérielle via la supply chain confère à BADBOX 2.0 un caractère particulièrement insidieux, car le malware est implanté profondément dans l’appareil (parfois dès sa sortie d’usine) et peut survivre aux réinitialisations d’usine.

Vecteurs d’infection et tactiques d’attaque

Les tactiques d’attaque de BADBOX 2.0 exploitent donc à la fois la chaîne d’approvisionnement des appareils IoT et le comportement des utilisateurs en quête d’applications ou de contenus non officiels. Lorsqu’un appareil est compromis, les cybercriminels l’intègrent à un infrastructure de commande et contrôle qui va pousser divers modules malveillants sur le dispositif. L’objectif initial observé est la fraude à grande échelle : une fois en ligne, les appareils zombifiés rejoignent un botnet tentaculaire couplé à un réseau proxy résidentiel. Les opérateurs de BADBOX 2.0 déploient alors des charges utiles pour monétiser ces botnets de plusieurs façons :

  • Fraude publicitaire programmée : injection de publicités invisibles ou en arrière-plan sur les appareils infectés, générant des revenus illicites (par exemple, des WebViews cachés chargent en boucle des pages de jeux en ligne bourrées de pubs).
  • Fraude au clic : automatisation de clics sur des publicités ou des liens, à l’insu de l’utilisateur, afin de générer de faux trafics et des gains indus.
  • Services de proxy résidentiel : utilisation des appareils infectés comme relais proxy pour du trafic malveillant. Les acteurs malintentionnés vendent ou louent l’accès à ces proxies basés sur les adresses IP domestiques compromises, ce qui permet à d’autres criminels de camoufler leurs activités (exfiltration de données, tentatives d’intrusion, etc.) derrière des connexions apparemment légitimes.
  • Atteintes aux comptes et au réseau : via le réseau de proxies et les accès obtenus, les attaquants peuvent faciliter des prises de contrôle de comptes (ATO), de la création de faux comptes, ou encore lancer des attaques de type DDoS et diffuser d’autres malwares. Les modules BADBOX 2.0 observés incluent par exemple des voleurs de credentials (ciblant comptes Google, Facebook, banques…), des outils de spam, et même des fonctions de spyware capables de lire l’écran ou d’activer le microphone de l’appareil.
  • Persistance et furtivité : BADBOX 2.0 est conçu pour persister sur l’appareil infecté. Il peut modifier le firmware système afin de survivre aux redémarrages et restaurations d’usine, et il communique de façon chiffrée avec ses C2 (ex. HTTP(S) chiffré, DNS over HTTPS) pour rester discret. De plus, il peut régulièrement exfiltrer des données (frappes clavier, contenu du presse-papiers, journaux d’utilisation) vers les attaquants.

En combinant ces techniques, le botnet BADBOX 2.0 transforme des appareils du quotidien en participants involontaires d’opérations criminelles sophistiquées. Les propriétaires légitimes ne se rendent souvent compte de rien : le malware agit en arrière-plan, masqué dans des processus système ou des applications apparemment anodines.

si on prend cet exemple, une box TV Android “bidouillée” peut afficher du contenu en streaming à l’utilisateur tout en lançant en tâche de fond un navigateur invisible qui visite des sites frauduleux et clique sur des publicités. Ce double usage de l’appareil (fonctionnement légitime en façade, activités illicites en coulisse) rend la détection d’autant plus difficile.

Indicateurs de compromission spécifiques

Comment repérer qu’un appareil IoT est compromis par BADBOX 2.0 ? Le FBI a fourni dans son bulletin une liste d’indicateurs de compromission (IOC) à surveiller. Bien qu’un indicateur pris isolément ne soit pas une preuve absolue, la présence de l’un ou (surtout) de plusieurs de ces signaux d’alerte doit éveiller les soupçons. Parmi les symptômes évocateurs d’une infection BADBOX 2.0, on peut citer :

  • Présence de boutiques d’applications suspectes sur l’appareil (marketplaces non officielles d’où proviennent les applications installées).
  • Demandes de désactiver les paramètres de sécurité Android (Google Play Protect, par exemple) pour installer une application.
  • Appareil de streaming “générique” vanté comme débloqué ou permettant d’accéder gratuitement à du contenu payant (ex. boîtier TV proposant films/séries en streaming illégal).
  • Équipements IoT de marques inconnues ou non reconnues sur le réseau. (Par exemple, des box TV Android de marque Beyod ou autres constructeurs peu visibles sur le marché mainstream).
  • Appareil Android non certifié Play Protect par Google (absence de certification officielle, souvent le cas des appareils sous Android Open Source Project à bas coût).
  • Trafic Internet inexpliqué ou inhabituel émanant de l’appareil ou du réseau domestique (pics de trafic alors que l’appareil est supposé inactif, connexions sortantes vers des serveurs inconnus, etc.).

Toute constatation de ce type doit inciter à la prudence. Le FBI recommande au public d’évaluer tous les dispositifs IoT présents à domicile et de déconnecter immédiatement du réseau tout appareil jugé suspect.

En effet, ces indices, surtout s’ils se cumulent (par ex. une TV box d’une marque exotique qui nécessite de désactiver Play Protect et qui télécharge des apps depuis un store alternatif), sont le signe que l’appareil pourrait être infecté par BADBOX 2.0 ou un malware similaire.

Une vigilance particulière s’impose vis-à-vis des gadgets numériques bon marché qui promettent des fonctionnalités étonnamment riches (comme l’accès illégal à des contenus premium) – le prix à payer caché pourrait bien être la compromission du réseau par un botnet.

Risques spécifiques pour les entreprises

Bien que l’alerte du FBI cible en premier lieu les réseaux domestiques, les implications de BADBOX 2.0 s’étendent largement aux entreprises.

En tant que professionnel de la sécurité, je constate que de nombreuses organisations peuvent être exposées indirectement à ce type de menace. D’une part, la frontière entre domicile et entreprise est de plus en plus floue : le télétravail et la pratique du BYOD (Bring Your Own Device) font que des équipements initialement connectés chez des particuliers se retrouvent parfois introduits sur le réseau de l’entreprise (par exemple, un employé peut apporter au bureau une smart TV box personnelle ou utiliser un projecteur connecté peu sécurisé pour une présentation).

D’autre part, les entreprises elles-mêmes, par souci d’économie, peuvent acheter des appareils IoT de marques peu connues (caméras de sécurité, dongles TV, tablettes de kiosque, etc.) sans réaliser que certains de ces produits ont pu être compromis dès la fabrication.

Les risques pour les organisations sont multiples et potentiellement graves :

  • Espionnage industriel : Un appareil IoT infecté au sein d’un environnement professionnel pourrait être exploité comme cheval de Troie pour espionner l’entreprise. Des analyses suggèrent que BADBOX 2.0, au-delà de la fraude, pourrait servir des objectifs d’espionnage stratégique grâce à sa persistance sur le long terme. Concrètement, une backdoor sur un objet connecté pourrait permettre à un attaquant d’activer caméras ou micros discrètement, de collecter des données sensibles (fichiers, identifiants, emails) ou de surveiller les activités internes. Si, comme le pensent certains chercheurs, des groupes liés à des APT étatiques sont impliqués, le vol de propriété intellectuelle ou de secrets d’entreprise est un scénario à redouter.
  • Accès réseau non autorisé / pivot interne : Une fois dans le réseau de l’entreprise, l’appareil compromis peut servir de tête de pont pour une attaque. BADBOX 2.0 peut agir comme un beacon furtif, donnant aux attaquants un accès persistant au réseau local de l’entreprise. À partir de ce point d’appui, ils peuvent chercher à étendre leur emprise : par exemple, scanner les ports et partages à la recherche de failles (SMB ouverts, sessions RDP, mots de passe par défaut sur des serveurs voisins) afin de se déplacer latéralement dans le SI. Il s’agit typiquement du genre de comportement observé dans cette campagne : un smart device infecté dans une salle de réunion peut commencer à explorer silencieusement le réseau interne pour compromettre d’autres machines ou comptes, ouvrant ainsi la voie à une intrusion plus profonde.
  • Rebond pour attaques externes : Comme pour les domiciles, les appareils d’entreprise compromis peuvent être utilisés comme proxies de sortie par les criminels. Cela signifie qu’un hacker peut lancer ses attaques vers d’autres cibles en faisant transiter son trafic via l’adresse IP de l’entreprise infectée. Les conséquences peuvent être délétères : le réseau de l’entreprise pourrait se retrouver associé à des activités illicites (fraude en ligne, diffusion de malware, attaques contre des tiers) sans que celle-ci s’en rende compte. Outre le risque juridique et réputationnel (par exemple, si l’infrastructure de l’entreprise est impliquée dans une cyberattaque), cela complique énormément la traçabilité des menaces. L’entreprise peut également subir des perturbations de service (bande passante saturée par un botnet mené depuis l’intérieur, équipement IoT instable, etc.).
  • Atteinte aux données et aux comptes : BADBOX 2.0 intègre des capacités de vol d’informations (comme mentionné plus haut, capture de frappes clavier, vols de cookies ou d’OTP). En contexte professionnel, cela pourrait mener à des compromissions de comptes utilisateurs, d’accès VPN, d’e-mails ou d’autres ressources critiques si l’appareil infecté est connecté au même réseau que ces services. Par exemple, un cadre photo numérique compromis sur le réseau administratif pourrait aspirer du trafic réseau en claire ou exploiter une connexion Wi-Fi mal segmentée pour intercepter des identifiants.

En somme, la présence d’un appareil IoT compromis sur un réseau d’entreprise constitue une menace d’intérieur difficile à détecter et à éliminer. Ce type de botnet illustre l’importance de ne pas sous-estimer les « petits » objets connectés dans l’architecture de sécurité : même un gadget anodin peut devenir la porte d’entrée d’une attaque majeure. BADBOX 2.0 agit comme un agent double au sein du réseau, continuant à fournir sa fonctionnalité apparente (par ex., afficher des vidéos) tout en trahissant l’organisation de l’intérieur.

Recommandations techniques et organisationnelles concrètes pour les entreprises

Face à ces risques, il est impératif que les entreprises adoptent des mesures proactives pour se protéger. Concrètement, quelles actions techniques et organisationnelles peut-on mettre en place pour réduire l’exposition à une menace comme BADBOX 2.0 ? Voici mes recommandations, en ligne avec les meilleures pratiques évoquées par les experts :

  1. Contrôles stricts des achats (supply chain sécurisée) – Mettez en place une politique d’achats rigoureuse pour tout équipement IT/IoT. N’achetez des appareils connectés que via des vendeurs et marques de confiance, dûment validés, et évitez les produits Android « white-label » de provenance obscure dont le firmware n’est pas contrôlé. Il est tentant de réduire les coûts en commandant des gadgets bon marché en ligne, mais le jeu n’en vaut pas la chandelle si c’est au prix d’une compromission. Privilégiez les modèles certifiés (ex. certification Play Protect pour Android) et lisez les rapports de sécurité lorsqu’ils existent.
  2. Segmentation du réseau IoT – Isolez autant que possible les appareils IoT et les objets connectés sur des segments de réseau dédiés. Utilisez des VLAN ou des sous-réseaux distincts protégés par des pare-feu pour séparer les objets non fiables des systèmes critiques de l’entreprise. Ainsi, si un projecteur ou une caméra IP est compromis, il sera contenu dans un périmètre restreint, ce qui limite sa capacité de propagation et d’interaction avec vos serveurs stratégiques. De plus, interdisez les communications directes entre les réseaux IoT et le cœur du SI, sauf besoins spécifiques et contrôlés.
  3. Surveillance continue & détection d’anomalies – Renforcez la supervision du trafic sur votre réseau interne. Déployez des outils de type EDR/NDR (Endpoint/Network Detection & Response) ou des sondes de détection capables d’identifier les comportements inhabituels : par exemple, des requêtes DNS suspectes, des pics de trafic sortant vers des destinations inconnues, ou l’apparition d’un nouvel appareil non autorisé connecté au réseau. Configurez des alertes lorsqu’un équipement IoT se met à communiquer vers des serveurs hors normes ou à des horaires insolites. Une surveillance attentive permet de repérer tôt la présence éventuelle d’un BADBOX 2.0 actif.
  4. Inventaire et audit des appareils – Maintenez un inventaire exhaustif de tous les appareils connectés à vos réseaux (y compris les objets IoT, les équipements OT, etc.). Effectuez régulièrement des audits, à la fois physiques et logiciels, de ces dispositifs. Vérifiez par exemple que le firmware est à jour et n’a pas été altéré (intégrité du logiciel embarqué). Retirez ou segmentez les équipements inconnus. En cas de doute sur un appareil (origine douteuse, comportement louche), faites-le analyser en profondeur ou remplacez-le préventivement. Ne laissez pas de “trous noirs” dans votre cartographie réseau : chaque objet connecté doit être connu, géré et surveillé par l’IT.
  5. Sensibilisation et politiques internes – Enfin, éduquez vos employés et utilisateurs aux risques spécifiques liés aux gadgets bon marché et aux applications non officielles. Mettez en place des règles claires interdisant l’utilisation, sur le réseau de l’entreprise, de dispositifs IoT personnels non validés ou d’appareils non sécurisés. Informez le personnel (en particulier les équipes audiovisuelles, facilities, etc., souvent responsables d’installer caméras, smart TVs, etc.) qu’un appareil à 30€ importé sans marque peut constituer une menace grave. Dans les industries réglementées ou sensibles, cette sensibilisation est d’autant plus cruciale. En complément, assurez-vous d’appliquer les correctifs de sécurité sur tous vos systèmes et firmware dès que possible : la tenue à jour des logiciels reste l’un des piliers de la défense.

En synthèse, ces mesures visent à réduire la surface d’attaque IoT de l’entreprise et à détecter au plus tôt toute activité anormale. Bien qu’aucune défense ne soit infaillible, combiner une approche préventive (choisir du matériel sûr, cloisonner les réseaux, former les utilisateurs) avec une approche réactive (supervision intelligente, plans de réponse à incident) permettra de contrer plus efficacement des menaces du type BADBOX 2.0.

Ma conclusion

L’alerte du FBI sur BADBOX 2.0 nous rappelle de manière frappante que la sécurité ne concerne pas uniquement les ordinateurs de bureau et les serveurs, mais l’ensemble des objets connectés gravitant autour de nos réseaux.

Ce botnet tire parti de l’aveuglement potentiel des utilisateurs vis-à-vis de la chaîne d’approvisionnement : dans un monde idéal, on devrait pouvoir faire confiance à un appareil flambant neuf sorti de sa boîte. BADBOX 2.0 brise cette confiance en montrant que le danger peut être injecté directement à la source, puis activé lors de l’usage normal du produit.

Pour les entreprises, c’est un avertissement clair : une politique de cybersécurité robuste doit intégrer les IoT et les “petits” équipements dans son périmètre, sous peine de laisser une porte d’entrée béante aux attaquants.

Malgré les efforts des partenaires (Google, Human Security, Trend Micro et autres ont collaboré pour perturber l’infrastructure BADBOX 2.0 en pratiquant du sinkholing, etc.), le botnet demeure actif en 2025 et continue de se propager.

Il est donc crucial de prendre au sérieux cette menace émergente. En appliquant les recommandations précitées – choix de fournisseurs de confiance, segmentation, surveillance, mises à jour et sensibilisation – les entreprises peuvent mitiger significativement les risques liés à BADBOX 2.0 et à ses successeurs potentiels. Plus globalement, cette affaire BADBOX souligne l’importance de développer une culture de sécurité “zéro confiance” vis-à-vis des équipements physiques : tester, vérifier et ne jamais présumer qu’un appareil est sûr par défaut, même s’il sort tout juste de son emballage.

Je ne peux qu’insister sur le fait que la vigilance s’impose à tous les niveaux.

BADBOX 2.0 n’est qu’un exemple parmi d’autres de campagnes qui sauront évoluer (on parle déjà de variantes futures, potentiellement BADBOX 3.0). Restons informés des alertes officielles comme celle du FBI, et surtout, passons des paroles aux actes en durcissant nos défenses IoT dès aujourd’hui. C’est à ce prix que nos entreprises pourront déjouer ces botnets de nouvelle génération.

Sources