Vulnérabilités et Alertes

Des services proxy cybercriminels exploitent des routeurs en fin de vie

by  • 

(Alerte FBI I-050725-PSA)

Je me penche aujourd’hui sur cette alerte du FBI, qui met en lumière un vecteur d’attaque trop souvent négligé : l’obsolescence de nos routeurs.

Ces équipements, bien qu’encore fonctionnels en apparence, peuvent représenter une faille critique dès lors qu’ils ne reçoivent plus de mises à jour de sécurité.

Combien d’entre nous, que ce soit à titre personnel ou dans le cadre d’une TPE/PME/ETI voir grand compte, prennent réellement le temps de vérifier leur état de support ou d’appliquer les correctifs disponibles ?

Voici ci-dessous mon analyse détaillée de cette menace.

Le 7 mai 2025, la division IC3 du FBI a publié une alerte (numéro I-050725-PSA) intitulée « Cyber Criminal Proxy Services Exploiting End of Life Routers ». Cette annonce met en garde contre une campagne active où des routeurs obsolètes (ayant atteint leur fin de vie) sont compromis via le malware TheMoon, puis transformés en serveurs proxy au profit de cybercriminels.

Des acteurs malveillants exploitent des failles connues sur ces équipements non mis à jour afin d’y installer un service proxy et de dissimuler leurs activités illicites derrière l’adresse IP des routeurs infectés. Cet article détaille le contexte de cette menace, sa nature et son fonctionnement technique, les impacts potentiels pour les entreprises et infrastructures critiques, ainsi que les mesures de sécurité pratiques recommandées pour s’en protéger.

Contexte et nature de la menace

De nombreux routeurs utilisés dans des foyers, des PME ou même certaines infrastructures critiques arrivent en fin de vie (End of Life, EOL) après quelques années.

Lorsqu’un équipement réseau est déclaré EOL, le fabricant cesse tout support : plus de mises à jour logicielles ni correctifs de sécurité. En conséquence, ces appareils accumulent des vulnérabilités connues qui restent non corrigées, offrant une opportunité aux attaquants.

D’après le FBI, les routeurs datant d’avant 2010 environ ne reçoivent plus de correctifs et sont particulièrement à risque d’exploitation.

Les cybercriminels ciblent spécifiquement ces routeurs obsolètes pour en prendre le contrôle. L’alerte FBI indique que des routeurs EOL configurés avec l’administration à distance activée ont récemment été compromis via une nouvelle variante du malware TheMoon.

TheMoon est un logiciel malveillant qui infiltre le routeur vulnérable, puis installe un proxy sur celui-ci, permettant aux criminels d’utiliser le routeur comme relais pour leurs propres communications.

Ils peuvent ainsi conduire leurs activités (fraudes, vols de données, achats illégaux, etc.) en dissimulant leur identité et localisation réelles : toute requête émise transite par le routeur compromis, dont l’IP sert de fausse empreinte au lieu de révéler celle de l’attaquant.

En d’autres termes, le routeur victime devient un bouclier anonyme derrière lequel les acteurs malveillants opèrent sans être immédiatement détectés.

Cette menace n’est pas purement théorique ni limitée à quelques cas isolés. TheMoon a initialement été découvert en 2014 lors d’une campagne visant des routeurs Linksys grand public. Depuis, il est réapparu à plusieurs reprises avec de nouvelles variantes. Des recherches récentes montrent qu’au début 2024, une version actualisée de TheMoon a infecté des dizaines de milliers de routeurs et dispositifs IoT obsolètes à travers 88 pays.

Ces routeurs compromis forment le socle d’un véritable service proxy clandestin, surnommé « Faceless » par les chercheurs, que les criminels louent ou utilisent pour anonymiser leurs opérations. Le taux d’expansion de ce botnet proxy aurait atteint environ 7 000 nouveaux utilisateurs par semaine début 2024 – un indicateur de l’ampleur du phénomène. La menace est donc bien réelle et active, motivant l’alerte émise par le FBI pour mobiliser les défenseurs et les utilisateurs face à ce risque.

Routeurs vulnérables et vecteurs d’attaque

Les routeurs vulnérables dans ce contexte sont principalement des modèles anciens ou abandonnés par leur fabricant.

Il s’agit souvent de routeurs SOHO (Small Office/Home Office) ou d’équipements domestiques qui n’ont pas reçu de mises à jour depuis des années. Plusieurs grandes marques ont été citées dans les analyses de campagnes TheMoon antérieures, notamment Linksys, ASUS, MikroTik, D-Link ou encore des routeurs fibre GPON – autant d’équipements grand public ou PME susceptibles d’être laissés avec un firmware périmé.

En outre, comme le souligne l’alerte FBI, le fait d’avoir laissé l’administration à distance activée (souvent via une interface web accessible sur Internet) est un facteur aggravant : cela expose le panneau de contrôle du routeur aux scanners sur le web, et donc aux attaques extérieures. Un routeur en fin de vie exposé sur Internet (par exemple via le port d’administration 80/8080 ou 443) avec des failles non corrigées devient une cible facile.

Le vecteur d’attaque principal utilisé par TheMoon est l’exploit de vulnérabilités connues du firmware du routeur. Typiquement, le malware n’a pas besoin de connaître le mot de passe d’administration : il va scanner des ports ouverts sur Internet et détecter les routeurs répondant sur le port d’administration ou d’autres services non sécurisés.

Lorsqu’il en trouve un, TheMoon envoie alors une commande HTTP spécialement forgée vers un script vulnérable du routeur – une page ou API non protégée présente dans de vieux firmwares.

Cette requête malveillante exploite la faille du script pour exécuter du code sur le routeur sans authentification, lui permettant d’implanter le malware. Historiquement, la première variante ciblait une interface d’administration des Linksys via l’URL HNAP et un script CGI vulnérable, ce qui lui permettait d’installer un binaire malveillant sur l’appareil. De façon générale, TheMoon intègre désormais un arsenal d’exploits pour divers modèles : au fil du temps, au moins six failles différentes visant des équipements IoT/routeurs ont été ajoutées au code du malware depuis 2017.

Cela lui offre plusieurs portes d’entrée possibles selon le type d’appareil rencontré (par exemple, failles d’interface web, de protocole UPnP, d’API non authentifiée, etc.).

Si je devais résumé, l’attaquant recherche sur Internet les routeurs présentant ces vulnérabilités (souvent via des balayages d’adresses IP ou en exploitant des moteurs de recherche de dispositifs connectés).

Aucune interaction de l’utilisateur n’est requise pour l’infection : si le routeur est vulnérable et accessible, TheMoon peut l’infecter automatiquement à distance. C’est un mode opératoire de ver autonome : il se propage de proche en proche en identifiant d’autres routeurs fragiles depuis chaque nouvelle machine compromise.

Les variantes récentes combinent ce comportement de ver avec une supervision par un serveur central, rendant l’attaque encore plus efficace et coordonnée.

Du malware au proxy : mode de fonctionnement et rôle du C2

Une fois le routeur compromis par l’exploit initial, TheMoon s’exécute sur l’appareil. Le malware va d’abord établir la communication avec son serveur de commande et contrôle (C2) distant. Cette infrastructure de C2 est pilotée par les cybercriminels et va dicter le comportement du routeur infecté. Selon le FBI, le C2 peut notamment ordonner à l’équipement infecté de scanner d’autres routeurs vulnérables afin d’étendre l’infection et le botnet.

Dans la vrai vie , cela signifie que le routeur compromis commence à chercher activement d’autres cibles sur Internet (voire sur le réseau local) pour propager le malware – contribuant à la croissance exponentielle du réseau d’appareils infectés.

Ce qu’il faut retenir c’est que le serveur C2 peut pousser d’autres instructions ou charges utiles malveillantes. L’objectif principal des opérateurs TheMoon est d’installer un service proxy sur chaque routeur compromis. Concrètement, le malware déploie ou active un composant qui écoute sur un port du routeur et relaye le trafic des clients malveillants vers Internet.

Dans certains cas observés, le malware utilise des règles réseau (ex. iptables) pour contrôler le trafic entrant et sortant et acheminer les connexions à travers le dispositif compromis. Le routeur devient ainsi un nœud du réseau proxy contrôlé par les attaquants.

Chaque routeur infecté peut être utilisé de manière indépendante (par un individu cherchant à masquer sa connexion) ou intégré dans une plateforme de proxy plus large comme Faceless, qui agrège des milliers de ces nœuds et les propose aux cybercriminels clients via une interface unifiée.

Le fonctionnement du proxy lui repose sur la dissimulation : quand un acteur malveillant utilise l’un de ces routeurs compromis pour se connecter à une ressource (site web, service en ligne, cible à attaquer), c’est l’IP du routeur qui apparaît comme source de la requête. Aux yeux de la cible ou des systèmes de logs, l’activité semble provenir de la connexion Internet légitime du propriétaire du routeur.

Pendant ce temps, le véritable attaquant demeure caché derrière la chaîne de proxies. Dans l’absolu, ce type de proxy peut être implémenté de différentes façons (Proxy HTTP/S, proxy SOCKS, VPN détourné, tunnel chiffré, etc.), mais le résultat est le même : le lien entre l’utilisateur malveillant et son activité est masqué.

Le rôle du C2 est également d’assurer la gestion de ce réseau proxy. Il peut maintenir à jour la liste des routeurs actifs, superviser leur charge, éventuellement faire tourner les adresses utilisées pour éviter le repérage, et fournir aux clients du service proxy l’accès aux routeurs.

Par exemple, dans le cas de Faceless, des chercheurs ont pu déterminer que le service disposait d’une carte logique du botnet et ciblait activement certains types de routeurs (une campagne en mars 2024 visait 6 000 routeurs ASUS en 72h pour étoffer le réseau).

Le C2 coordonne ces actions à grande échelle. En somme, TheMoon sert de pivot : il transforme un équipement vulnérable en un actif monétisable pour les cybercriminels, soit en l’ajoutant à un botnet proxy à louer, soit en l’utilisant directement comme couverture pour leurs propres attaques.

Les conséquences pour les entreprises et les infrastructures critiques

Les entreprises et opérateurs d’infrastructures critiques sont directement concernés par cette menace à plusieurs titres. On parle bien des OIV, OSE…

Tout d’abord, si un routeur appartenant à une organisation est compromis de la sorte, il devient une porte d’entrée potentielle pour d’autres attaques. Certes, dans le scénario mis en avant par le FBI, les attaquants utilisent principalement le routeur comme relais anonyme pour d’autres crimes sur Internet.

Néanmoins, le simple fait qu’un acteur malveillant ait le contrôle total d’un routeur d’entreprise pose un risque important : il pourrait exploiter cet accès pour espionner le trafic (ex. capturer des données sensibles transitant par le routeur), modifier la configuration (par ex. rediriger le flux vers un serveur pirate), ou pivoter plus profondément dans le réseau interne de l’organisation.

Un routeur compromis équivaut à un élément de sécurité neutralisé – l’attaquant peut potentiellement contourner les pare-feu ou VPN associés, surtout si le routeur fait le lien entre différents segments réseau.

Ensuite, il y a des conséquences opérationnelles et légales. Le FBI souligne que des signes courants d’infection incluent des problèmes de performance tels que des surchauffes ou des perturbations de connectivité. Pour une entreprise, un routeur instable peut causer des pannes réseau, une dégradation du service, voire une interruption d’activité si ce routeur est critique (par exemple, point d’accès Internet d’une agence).

De plus, lorsque le routeur est utilisé pour mener des activités illégales (fraudes, attaques informatiques, diffusion de malware, etc.), c’est l’adresse IP de l’entreprise ou de l’entité propriétaire qui sera visible depuis les cibles ou les serveurs consultés. On risque alors de voir son adresse IP figurer dans des listes de blocage (blacklists) ou faire l’objet de plaintes.

Dans le pire des cas, une perquisition ou enquête pourrait viser l’organisation propriétaire du routeur compromis, le temps de clarifier qu’elle a été victime et non instigatrice des actes.

Cette situation engendre des frais d’enquête, des atteintes à la réputation, et mobilise les équipes de sécurité inutilement.

Pour les infrastructures critiques, le danger est encore plus préoccupant. Beaucoup d’environnements industriels ou réseaux d’importance vitale reposent sur des équipements réseau spécialisés qui, parfois, ne sont plus de première jeunesse.

Si de tels dispositifs sont compromis, les conséquences pourraient dépasser le cadre du proxy. Par exemple, un assaillant pourrait utiliser l’accès pour dérégler des systèmes de contrôle, provoquer des interruptions de service (dans l’énergie, les transports, etc.), ou préparer des actions de sabotage.

Le botnet TheMoon est opéré par des criminels cherchant avant tout un relais anonyme, on a vu récemment des groupes d’État adopter des techniques similaires pour se cacher dans des réseaux critiques.

Pour illustration, en 2023, le groupe chinois Volt Typhoon a détourné des routeurs Cisco et Netgear en fin de vie au sein de différentes organisations américaines afin de camoufler ses intrusions dans des infrastructures sensibles.

Des centaines de routeurs vulnérables avaient ainsi été intégrés à un botnet furtif (démantelé depuis par une opération judiciaire) servant à des fins d’espionnage et de pré-positionnement en vue de cyberattaques destructrices.

Ce cas démontre une fois de plus que laisser des équipements réseau obsolètes en production peut représenter une faille majeure, exploitée aussi bien par le cybercrime opportuniste que par des acteurs avancés pour compromettre des cibles de haute valeur.

Un routeur compromis c’est à la fois :

  • un risque interne (affaiblissement de la sécurité du système d’information, vecteur d’accès non-autorisé),
  • un risque externe (l’entreprise peut être involontairement complice d’actions illégales menées via son infrastructure),
  • un risque de disponibilité (pannes ou ralentissements réseaux),
  • et un risque juridique/réglementaire (non-conformité aux politiques de sécurité, enquêtes à gérer, etc.).

Signes d’infection d’un routeur par TheMoon

Détecter qu’un routeur est infecté n’est pas toujours aisé, car ce type de malware opère souvent en tâche de fond discrète. Néanmoins, il existe des signes d’alerte courants qui peuvent indiquer qu’un routeur a été compromis par TheMoon (ou un malware similaire) :

  • Surchauffe inhabituelle : Le routeur émet une chaleur anormale ou voit ses voyants lumineux d’activité continuellement allumés. TheMoon mobilisant le processeur et les interfaces réseau du routeur pour scanner Internet et relayer du trafic, l’appareil peut surchauffer anormalement. Un routeur qui devient brûlant au toucher sans augmentation de charge légitime doit alerter.
  • Ralentissements et instabilité du réseau : Des problèmes de connectivité inexpliqués peuvent survenir. Par exemple, la navigation Internet devient lente, les appels VoIP se coupent, ou le routeur redémarre de façon inopinée. Ces symptômes peuvent traduire la saturation de la bande passante ou des ressources du routeur par le malware. Si l’infrastructure n’a pas changé mais que le réseau se dégrade subitement, une compromission du routeur pourrait en être la cause.
  • Paramètres modifiés : L’administrateur constate des changements de configuration non intentionnels dans l’interface du routeur. Par exemple, des ports de gestion à distance activés alors qu’ils avaient été désactivés, des règles de pare-feu ou de redirection de port inconnues, le DNS paramétré sur un serveur suspect, ou encore un nouveau compte utilisateur dans l’interface du routeur. TheMoon pouvant altérer certains réglages pour assurer sa persistance ou l’accès proxy, de tels changements sont un indicateur fort d’infection.
  • Appels externes suspects : Si l’on examine les journaux réseau (firewall, SIEM) ou les flux sortants, on peut détecter que le routeur contacte des adresses IP ou domaines inhabituels de manière régulière. Un routeur ne devrait normalement communiquer qu’avec les serveurs de l’opérateur (pour NTP, DHCP, etc.). La présence de connexions sortantes vers des serveurs inconnus (potentiellement les serveurs C2 de TheMoon) ou de scans vers de nombreuses IP peut indiquer que le routeur est sous contrôle d’un botnet.
  • Ouverture de ports inconnus : En examinant les ports ouverts sur le routeur (via un scan interne ou un service comme Shodan depuis l’extérieur), on pourrait trouver un port d’écoute inhabituel qui ne faisait pas partie des services attendus (par ex. un port TCP élevé servant de proxy). TheMoon installe un service proxy qui pourrait écouter sur un port spécifique – si ce port est exposé et que vous n’en êtes pas l’auteur, c’est un signal d’alerte.

Il est important de noter qu’un routeur compromis par un malware peut ne présenter aucun symptôme visible dans certains cas (surtout si l’attaquant a optimisé son code pour la furtivité).

C’est pourquoi je ne le répéterai jamais assez la surveillance proactive et les contrôles réguliers sont indispensables, en complément de la réaction aux symptômes listés ci-dessus.

Recommandations de sécurité et remédiations

Face à cette menace, le FBI et les experts en sécurité préconisent une série de mesures préventives et curatives. L’objectif est d’empêcher l’infection des routeurs lorsque c’est possible, de détecter rapidement toute compromission et de réagir efficacement pour assainir l’équipement. Voici les principales recommandations à destination des équipes de sécurité (CERT, CSIRT, SOC) et des responsables SI :

  • Remplacer les routeurs en fin de vie : Identifiez tous les équipements réseau end of life dans votre parc (routeurs, mais aussi switchs, pare-feu, etc. non supportés). Remplacez-les par des modèles récents bénéficiant de mises à jour de sécurité. Si un remplacement immédiat n’est pas possible, envisagez au minimum de les isoler du reste du réseau et d’en bloquer l’accès depuis Internet (par exemple via un pare-feu en amont) le temps de la transition. Le maintien en condition de sécurité passe par un cycle de vie maîtrisé des équipements : budgétez et planifiez le renouvellement des appareils avant qu’ils ne deviennent des maillons faibles.
  • Appliquer les mises à jour et correctifs : Assurez-vous que le firmware de chaque routeur actif est à jour de la dernière version disponible. Consultez les bulletins de sécurité de vos fournisseurs. En absence de support (appareil EOL), vérifiez s’il existe des firmware alternatifs sécurisés (p. ex. OpenWrt) ou appliquez strictement les mesures compensatoires ci-dessous. Une mise à jour logicielle comble souvent les failles connues qu’exploitent des malwares comme TheMoon – c’est la première ligne de défense.
  • Désactiver l’administration à distance : Par défaut, désactivez les fonctionnalités de gestion à distance sur les routeurs, sauf besoin impératif. L’accès à l’interface d’administration web/Telnet/SSH ne devrait être possible que depuis le réseau interne de confiance, jamais depuis Internet. Si un accès distant est nécessaire (pour un site distant par ex.), mettez en place un VPN ou une passerelle sécurisée plutôt que d’exposer directement le routeur. Pensez à changer le port d’administration par défaut et à activer, si disponible, des mécanismes d’authentification multifactorielle ou de liste blanche d’IP administratives.
  • Renforcer l’authentification : Utilisez des mots de passe forts et uniques pour l’accès à chaque routeur. Le FBI recommande des mots de passe d’au moins 16 caractères, aléatoires et sans réutilisation entre différents comptes/appareils. Éliminez tout mot de passe par défaut toujours actif. Un grand nombre d’attaques IoT se fondent sur l’essai de logins par défaut ou faibles – même si TheMoon n’en a pas eu besoin dans certains cas, ne facilitez pas la tâche à d’autres malware. Désactivez les hints (indices) de mot de passe ou toute fonction qui pourrait aider un attaquant. En complément, changez périodiquement les mots de passe sur les équipements sensibles.
  • Superviser le réseau et les appareils : Mettez en place une surveillance régulière des indicateurs d’attaque sur vos routeurs. Par exemple, configurez des alertes si un routeur génère un trafic sortant inhabituel ou tente de communiquer avec des domaines connus pour le C2 de botnets (intégrez pour cela des IoC publiés par les autorités ou chercheurs dans vos systèmes de détection). Surveillez également les connexions entrantes : si vous voyez de multiples connexions vers votre routeur depuis des adresses IP variées (hors usages prévus), cela peut signaler son utilisation en tant que proxy. Un IDS/IPS positionné à l’entrée/sortie du réseau pouvant inspecter le trafic de/vers le routeur aide à repérer des patterns de scan ou des signatures de malware. De même, exploitez les journaux du routeur (si disponibles) pour détecter des tentatives de connexion ou commandes suspectes.
  • Inspecter et durcir la configuration : Effectuez des audits de configuration de vos routeurs. Vérifiez que les paramètres n’ont pas été modifiés par rapport à votre baseline de sécurité. Toute divergence inexpliquée doit être traitée comme suspecte (voir la section signes d’infection). Pour durcir l’appareil, désactivez les services non utilisés (serveur Telnet, UPnP, etc.), fermez les ports non essentiels, et activez les fonctionnalités de sécurité offertes (filtrage d’IP, firewall intégré, etc.). Assurez-vous que les accès SNMP éventuels sont sécurisés par des communautés fortes ou désactivés.
  • Réagir rapidement en cas de suspicion : Si vous soupçonnez une infection (indices d’anomalie) ou si un incident avéré est découvert, appliquez immédiatement une procédure de remédiation. Le FBI conseille de mettre à jour le firmware, changer les mots de passe administrateur et redémarrer le routeur. En effet, un redémarrage permet de purger un malware résidant en mémoire, à condition d’avoir comblé la faille exploitée entretemps (sinon la réinfection risque d’être quasi immédiate dès le redémarrage). Idéalement, effectuez un reset usine du routeur suivi d’une réinstallation du dernier firmware sain, pour supprimer toute persistence éventuellement installée par le malware. Ne remettez le routeur en ligne qu’une fois sécurisé et surveillez-le de près ensuite. Par ailleurs, enquêtez sur les usages qui ont pu être faits du routeur pendant l’incident (logs, flux réseau) afin de déterminer les éventuelles actions malveillantes réalisées via votre infrastructure.
  • Sensibiliser et documenter : Informez les équipes IT et utilisateurs des risques liés aux équipements obsolètes. Les employés utilisant un routeur personnel pour le télétravail doivent par exemple être conscients qu’un routeur vieillissant peut poser un danger pour l’entreprise et qu’il convient de le mettre à jour ou remplacer. Documentez en interne une politique de sécurité des routeurs (que ce soit pour les sites distants, l’IoT interne, ou le télétravail), incluant les directives ci-dessus. Pour les SOC/CERT, établissez des fiches réflexes en cas de détection d’un routeur compromis, et tenez à jour une base d’indicateurs de compromission spécifiques à ce type de menace.

En appliquant ces mesures, vos organisations réduiront significativement la surface d’attaque exploitable par TheMoon et autres malwares visant les routeurs.

Le maître-mot est la proactivité : ne pas attendre qu’un incident survienne pour sécuriser ces appareils souvent oubliés de la stratégie de défense, alors qu’ils constituent un élément central du réseau.

Et enfin, en cas d’infection avérée impliquant des activités illégales transitant par vos équipements, n’hésitez pas à porter plainte et à coopérer avec les autorités.

Enjoy !

Sources et références