Une campagne de malware basée sur Mirai exploite activement la vulnérabilité CVE-2025-29635, une faille de gravité élevée permettant une injection de commandes sur les routeurs D-Link DIR-823X. Ce type de vulnérabilité permet à un attaquant d’exécuter des commandes arbitraires sur des appareils distants par l’envoi d’une requête POST à un point d’accès vulnérable, déclenchant ainsi une exécution de commande à distance (RCE).
La détection de cette campagne a été réalisée par Akamai SIRT en mars 2026. Bien que la faille ait été initialement révélée 13 mois auparavant par des chercheurs en sécurité, il s’agit de la première exploitation active observée sur le terrain.
Dans son rapport, Akamai explique : « Nous avons découvert des tentatives d’exploitation active de la vulnérabilité d’injection de commandes D-Link CVE-2025-29635 dans notre réseau mondial de honeypots au début de mars 2026. » Cette vulnérabilité concerne les routeurs de la série DIR-823X utilisant les versions de firmware 240126 et 24082 et permet à un attaquant autorisé d’exécuter des commandes en envoyant une requête POST à l’endpoint /goform/set_prohibiting.
Les chercheurs ayant identifié la vulnérabilité avaient brièvement publié une preuve de concept (PoC) sur GitHub, avant de la retirer. Les observations d’Akamai révèlent que les attaquants envoient des requêtes POST qui modifient les répertoires sur des chemins accessibles en écriture, téléchargent un script shell (dlink.sh) depuis une adresse IP externe et l’exécutent.
Source : Akamai
Ce script installe un malware basé sur Mirai dénommé « tuxnokill », qui est compatible avec plusieurs architectures. En termes de capacités, il propose l’arsenal standard d’attaques par déni de service distribué (DDoS) de Mirai, intégrant des attaques par TCP SYN/ACK/STOMP, des flottements UDP et des requêtes HTTP null.
Akamai a également identifié que l’entité à l’origine de cette campagne exploite la vulnérabilité CVE-2023-1389, touchant les routeurs TP-Link, ainsi qu’une autre faille RCE dans les routeurs ZTE ZXV10 H108L. Le même schéma d’attaque a été observé dans tous les cas, menant à la diffusion d’un payload Mirai.
Les appareils affectés ont atteint leur fin de vie (EoL) en novembre 2024, ce qui signifie que le dernier firmware disponible ne corrige probablement pas la vulnérabilité CVE-2025-29635. D-Link ne fait pas d’exception en cas d’exploitation active, rendant peu probable la mise à disposition d’un correctif.
BleepingComputer a contacté D-Link pour obtenir des éclaircissements sur l’activité signalée et le statut du correctif, et mettra à jour cette information dès qu’une réponse sera reçue.
En attendant, il est recommandé aux utilisateurs de routeurs ayant atteint leur EoL de passer à un modèle plus récent, bénéficiant d’un support actif avec des mises à jour de sécurité régulières, de désactiver les portails d’administration à distance s’ils ne sont pas nécessaires, de modifier les mots de passe par défaut et de surveiller les changements de configuration inattendus.