Cyberattaque massive : 14 000 routeurs ASUS infectés par le malware KadNap

Par rac le 14.03.2026 14.03.2026

un ordinateur portable posé sur une table en bois

Une cyberattaque d'envergure frappe depuis août 2025 les routeurs de marque ASUS, avec plus de 14 000 appareils infectés par le malware KadNap à travers le monde. Ce logiciel malveillant hautement résistant transforme les routeurs en réseau proxy utilisé pour des activités cybercriminelles, et ne peut être éliminé par un simple redémarrage.

Découvert initialement en août 2025, le botnet KadNap a connu une expansion fulgurante pour atteindre aujourd'hui plus de 14 000 dispositifs infectés. Selon les chercheurs en cybersécurité, plus de 60 % des victimes se situent aux États-Unis, le reste étant réparti notamment à Taïwan, Hong Kong, Russie, Royaume-Uni, Australie, Brésil, France, Italie et Espagne.

Ce qui rend KadNap particulièrement dangereux, c'est son utilisation d'une version personnalisée du protocole Kademlia Distributed Hash Table (DHT). Cette technique permet aux cybercriminels de dissimuler l'adresse IP de leur infrastructure au sein d'un système pair-à-pair décentralisé, rendant la détection et le démantèlement du réseau extrêmement difficiles pour les autorités et les experts en cybersécurité.

Un mécanisme d'infection sophistiqué

L'attaque débute par le téléchargement d'un script shell baptisé "aic.sh" depuis un serveur de commande et contrôle. Ce script crée ensuite une tâche programmée (cron job) qui récupère automatiquement le script malveillant à la 55ᵉ minute de chaque heure, le renomme en ".asusrouter" et l'exécute discrètement.

Le script télécharge alors un fichier ELF malveillant, le renomme "kad" et le lance, permettant ainsi le déploiement complet de KadNap. Une fois infectés, les routeurs sont enrôlés dans un réseau proxy commercialisé par un service criminel appelé "Doppelganger", qui semble être une refonte du service Faceless précédemment alimenté par le malware TheMoon.

Les chercheurs précisent que le malware exploite des vulnérabilités non corrigées par les propriétaires des appareils, bien qu'il soit "peu probable" que les attaquants aient utilisé des failles zero-day. Cette situation souligne l'importance cruciale des mises à jour de sécurité régulières.

Comment se protéger et nettoyer un routeur infecté

Face à cette menace, les experts en cybersécurité recommandent plusieurs mesures de protection essentielles. Il est impératif de maintenir à jour le firmware de son routeur ASUS et de vérifier régulièrement la disponibilité de nouvelles versions sur le site du fabricant.

Un point crucial : contrairement à de nombreuses infections, un simple redémarrage du routeur ne suffit pas à éliminer KadNap. Pour nettoyer un appareil compromis, une restauration complète aux paramètres d'usine est nécessaire, suivie d'une mise à jour du firmware, du changement des mots de passe par défaut et de la désactivation de l'accès à distance si celui-ci n'est pas indispensable.

Les utilisateurs doivent également sécuriser les interfaces de gestion en modifiant les identifiants par défaut et en utilisant des mots de passe robustes. Pour les modèles qui ne sont plus supportés par le fabricant (end-of-life), le remplacement de l'appareil constitue la seule solution viable pour garantir la sécurité du réseau domestique ou professionnel.

Cette cyberattaque rappelle que les équipements réseau domestiques constituent des cibles privilégiées pour les cybercriminels, souvent négligées par les utilisateurs en matière de sécurité. La vigilance et la maintenance régulière de ces dispositifs sont désormais aussi importantes que la protection des ordinateurs et smartphones.