CTI & OSINT

Comment le toolkit MIKRONET compromet les routeurs MikroTik

by  • 

J’ai repris cet article de mon flux d’actualité LinkedIN pour mettre en avant une nouvelle menace mais surtout une chercheuse en cybersécurité brillante Mme Tammy HARPER.

Elle a publié un article complet sur cette menance le 10 juillet 2025, un nouveau framework d’exploitation baptisé MIKRONET a été mis en vente sur les forums russophones. Proposé à 2 800 dollars par licence (15 exemplaires disponibles), ce kit permet de prendre le contrôle total de routeurs MikroTik à travers des fonctionnalités avancées de bruteforce, de gestion centralisée, d’exfiltration de données, de pivot réseau et de monétisation via des services de proxy ou VPN.

Je vous propose une synthèse complète du mode opératoire et des capacités techniques de MIKRONET qui s’appui sur ce travail de qualité de Tammy Harper en Français.

Accès initial : découverte et bruteforce

MIKRONET intègre des modules de bruteforce automatisés ciblant les services exposés des routeurs MikroTik, notamment :

  • Winbox (port 8291)
  • API (ports 8728/8729)
  • SSH (port 22)

Le framework teste des combinaisons classiques de comptes (admin, root, admin1, etc.). En cas de succès, il peut :

  • Activer l’accès SSH s’il est désactivé,
  • Installer une clé SSH pour persistance,
  • Exporter les accès compromis dans des fichiers au format ip:login:pass.

Contrôle centralisé et gestion des bots

Une fois les routeurs compromis, ils sont intégrés dans une interface d’administration centralisée :

  • Affichage en temps réel des bots avec leur statut (GOOD/BAD), firmware, modèle, architecture, identifiants,
  • Importation et gestion de masse via des fichiers texte,
  • Exécution de commandes sur tous les bots simultanément,
  • Installation de scripts personnalisés sur l’ensemble des dispositifs.

Ce système permet un pilotage à distance coordonné et persistant sur de vastes infrastructures hétérogènes.

Exfiltration d’informations sensibles

MIKRONET offre une capacité d’inventaire complète des appareils compromis :

  • Liste des utilisateurs, groupes et sessions actives,
  • ARP tables, routes IP, topologie du LAN,
  • Détails matériels : modèle, série, CPU, RAM, firmware,
  • Extraction de mots de passe VPN (PPTP, L2TP, IPSec), Wi-Fi et emails.

Ces données facilitent la cartographie interne, la préparation à des mouvements latéraux et l’analyse de la surface d’attaque.

Persistance, évasion et sécurit

Le framework intègre des fonctions pour :

  • Supprimer les journaux système et désactiver la journalisation,
  • Chiffrer toutes les données de la base de données du botnet,
  • Élever les privilèges des comptes utilisateurs (write vers full),
  • Installer des clés SSH pour éviter les réauthentifications.

L’objectif est de masquer l’infection, éviter la détection et garantir un accès à long terme.

Modules réseau offensifs

MIKRONET permet de transformer les routeurs en plateformes d’abus réseau :

  • Déploiement de proxies HTTP/SOCKS pour relai de trafic et anonymisation,
  • Installation de serveurs VPN (PPTP, OpenVPN, WireGuard),
  • Lancement de floods ICMP pour test de charge ou attaque DDoS interne,
  • Spoofing DNS, scan ARP/NetBIOS pour identifier machines Windows et infrastructures voisines.

Les données collectées permettent de cartographier précisément les sous-réseaux, détecter des cibles vulnérables et faciliter l’expansion du botnet.

Analyse de trafic et vol d’identifiants

MIKRONET dispose d’un module de sniffing réseau permettant :

  • La capture de paquets réseau (.pcap),
  • L’analyse des protocoles clairs ou faibles (HTTP, FTP, SMTP),
  • L’extraction automatique d’identifiants, de tokens de session, ou de données d’enrôlement.

Les connexions interceptées sont analysées en temps réel et stockées dans des journaux techniques pour exploitation ultérieure.

Fonctions complémentaires et intégrations

  • API Shodan : collecte d’informations sur les routeurs détectés,
  • IP-API.com : géolocalisation des adresses IP,
  • Exports automatisés de listes de proxy ou d’accès VPN.

Ces fonctions visent à enrichir l’environnement opérationnel du botnet et faciliter la revente d’accès ou la préparation d’attaques ciblées.

La synthèse : une compromission industrialisée

MIKRONET représente une nouvelle étape dans la professionnalisation des outils de compromission d’infrastructure :

  • Bruteforce initial automatisé et silencieux,
  • Prise de contrôle complète du système,
  • Gestion centralisée multi-bots,
  • Capacités avancées d’évasion, de sniffing et d’exploitation,
  • Valorisation directe via VPN, proxy, ou exfiltration de données.

Cette boîte à outils rend chaque routeur compromis exploitable comme point d’entrée, relai ou ressource technique dans un cadre cybercriminel ou d’opération clandestine.

Les recommandations

Pour les responsables de la sécurité, CERT et DSI, il est impératif de :

  • Désactiver les services inutiles sur les routeurs MikroTik (Winbox, API),
  • Appliquer tous les correctifs de sécurité officiels,
  • Restreindre l’accès aux ports critiques à des plages IP internes,
  • Surveiller les journaux pour toute anomalie ou suppression suspecte,
  • Mettre en place une politique de durcissement spécifique aux routeurs réseau.

Sources:

Article LinkedIN: https://www.linkedin.com/pulse/next-gen-mikronet-botnet-toolkit-appears-tammy-harper-w6htc
Profil LinkedIN de Tammy Harper: https://www.linkedin.com/in/tammyharper11/