Si vous disposez d’un routeur Asus sur votre réseau domestique, il peut avoir été ciblé par une forme sophistiquée de malware capable d’ajouter des appareils à un botnet et de les utiliser à des fins criminelles. Les chercheurs des Black Lotus Labs de Lumen ont identifié cette menace, baptisée KadNap, en août 2025 et estiment que plus de 14 000 appareils ont été infectés.
Comment KadNap compromet les réseaux domestiques
Comme le rapporte Ars Technica, KadNap exploite des vulnérabilités non corrigées dans les appareils connectés, dont la plupart sont des routeurs Asus. Les appareils infectés sont ajoutés à un réseau proxy qui peut masquer le trafic malveillant. Dans ce cas, ils transportent du trafic pour un service appelé Doppelganger, qui permet aux utilisateurs de naviguer de manière anonyme et de se lancer dans des attaques par force brute et une exploitation ciblée.
KadNap est particulièrement difficile à détecter car son protocole dissimule les adresses IP des serveurs de commande et de contrôle (C2) des pirates, lui permettant ainsi d’échapper à la surveillance traditionnelle. Sa conception le rend également hautement évolutif et résistant au démontage.
On estime que 60 % des appareils concernés se trouvent aux États-Unis, à Taiwan, à Hong Kong et en Russie, qui représentent chacun 5 % supplémentaires, le reste étant réparti dans de nombreux autres pays à travers le monde.
Vérifiez votre routeur pour toute activité malveillante
Si vous pensez que votre routeur peut être infecté par KadNap, comparez l’adresse IP et le hachage de fichier dans le journal de votre appareil avec ceux des indicateurs de compromission (IOC) de Black Lotus Labs. Vous devrez effectuer une réinitialisation d’usine, car le redémarrage exécutera un script shell et ne supprimera pas le logiciel malveillant.
Vous pouvez également exécuter IP Check, un outil de la société de surveillance des menaces Greynoise qui peut aider à déterminer si votre routeur est potentiellement utilisé à des fins malveillantes (le botnet KadNap ou autre). Si votre adresse IP est signalée comme suspecte, vous pourrez voir l’activité d’analyse récente pour approfondir votre enquête.
En matière de sécurité des réseaux, la prévention est une bonne protection. Mettez à jour le nom de votre réseau et le mot de passe administratif à partir des valeurs par défaut de votre routeur (qui sont faciles à découvrir). Pensez à désactiver les contrôles d’accès à distance, qui empêchent les acteurs malveillants de modifier les paramètres à votre insu, et déconnectez-vous de votre compte administrateur lorsqu’il n’est pas utilisé. Enfin, maintenez le micrologiciel de votre routeur à jour pour garantir que les vulnérabilités soient corrigées rapidement.
