Selon Black Lotus Labs (Lumen), dans une publication du 10 mars 2026, un nouveau malware nommé KadNap cible principalement des routeurs Asus pour bâtir un botnet d’environ 14 000 appareils, utilisé comme proxy criminel via le service « Doppelganger ». Lumen indique avoir bloqué proactivement le trafic vers/depuis l’infrastructure de contrôle et publiera des IoCs.

• Découverte et ampleur 🕵️‍♂️ Depuis août 2025, KadNap a été observé à grande échelle, avec une moyenne quotidienne de 14 000 victimes et 3–4 C2 actifs. Plus de 60 % des victimes sont aux États‑Unis; d’autres se trouvent à Taïwan, Hong Kong et Russie. Bien que visant surtout les routeurs Asus, le botnet affecte aussi d’autres équipements réseau en périphérie. L’opérateur segmente ses C2 par type/modèle d’appareil.

• Mécanisme P2P et dissimulation des C2 🕸️ KadNap implémente un Kademlia DHT personnalisé, en s’appuyant sur le BitTorrent DHT (bootstrap via des nœuds publics) pour rechercher des pairs infectés et masquer les adresses IP des C2 dans le bruit du trafic P2P légitime. Malgré la nature décentralisée attendue, deux nœuds finaux persistants (45.135.180[.]38 et 45.135.180[.]177) sont systématiquement contactés avant les C2, ce qui révèle le maintien de nœuds de contrôle par les attaquants.

• Chaîne d’infection et persistance Un script initial « aic.sh » téléchargé depuis 212.104.141[.]140 crée une tâche cron (minute 55) pour récupérer un script malveillant, le renommer en « .asusrouter » et l’exécuter depuis « /jffs/.asusrouter ». Il télécharge ensuite un binaire ELF (ARM et MIPS) renommé « kad ». Le malware fork, redirige STDIN/STDOUT/STDERR vers /dev/null, récupère l’IP externe, et synchronise l’heure via plusieurs serveurs NTP. Il génère un infohash personnalisé (XOR avec l’uptime et la réponse NTP, puis SHA‑1) et contacte des pairs. Après handshake et déchiffrement (clé codée en dur, puis SHA‑1 et AES pour le trafic ultérieur), il reçoit des payloads : « fwr.sh » (ajout de règles pare‑feu qui ferment notamment le port 22) et « /tmp/.sose » (liste C2 IP:port et configuration), ensuite utilisés pour joindre les C2.

• Monétisation via proxy criminel Les bots sont commercialisés par « Doppelganger », un service proxy orienté activités criminelles qui semblerait être un rebrand de « Faceless », ex‑service alimenté par le malware TheMoon. Black Lotus Labs, en coopération avec Spur, évalue qu’il s’agit vraisemblablement d’un nouveau botnet lié à l’écosystème Faceless. L’infrastructure montre des C2 dédiés aux Asus et d’autres réservés à d’autres victimes.

• IoCs et TTPs (extraits) IoCs

  • Serveur d’installation : 212.104.141[.]140 (fichier « aic.sh »)
  • Nœuds finaux (avant C2) : 45.135.180[.]38, 45.135.180[.]177
  • Fichiers/chemins : « /jffs/.asusrouter », binaire « kad » (ELF ARM/MIPS), « fwr.sh », « / tmp/.sose »
  • Constante binaire (0x40 octets) utilisée dans la génération d’infohash : 6YL5aNSQv9hLJ42aDKqmnArjES4jxRbfPTnZDdBdpRhJkHJdxqMQmeyCrkg2CBQg
  • Port affecté : fermeture du port 22 par « fwr.sh »

TTPs

  • C2 pair‑à‑pair via Kademlia/BitTorrent DHT pour cacher l’infrastructure et résister au blocage
  • Persistance via tâche cron horaire (minute 55)
  • Segmentation des C2 par type/modèle d’appareil (dont C2 dédiés Asus)
  • Chiffrement des échanges : clé codée en dur, SHA‑1 pour dérivation de clés et AES pour le trafic
  • Évasion/durcissement : fermeture du port 22, redirection des flux vers /dev/null, usage de trafic P2P légitime
  • Compatibilité multiplateforme (ELF ARM/MIPS), forking, synchronisation NTP pour la génération des clés

Il s’agit d’une analyse de menace/publication de recherche visant à documenter le fonctionnement et l’infrastructure de KadNap et à partager des IoCs pour aider à perturber ce botnet.

🧠 TTPs et IOCs détectés

TTP

[‘C2 pair-à-pair via Kademlia/BitTorrent DHT pour cacher l’infrastructure et résister au blocage’, ‘Persistance via tâche cron horaire (minute 55)’, ‘Segmentation des C2 par type/modèle d’appareil (dont C2 dédiés Asus)’, ‘Chiffrement des échanges : clé codée en dur, SHA-1 pour dérivation de clés et AES pour le trafic’, ‘Évasion/durcissement : fermeture du port 22, redirection des flux vers /dev/null, usage de trafic P2P légitime’, ‘Compatibilité multiplateforme (ELF ARM/MIPS), forking, synchronisation NTP pour la génération des clés’]

IOC

{‘ip’: [‘212.104.141.140’, ‘45.135.180.38’, ‘45.135.180.177’], ‘file_path’: [’/jffs/.asusrouter’, ‘/tmp/.sose’], ‘file_name’: [‘kad’, ‘fwr.sh’], ‘constant’: ‘6YL5aNSQv9hLJ42aDKqmnArjES4jxRbfPTnZDdBdpRhJkHJdxqMQmeyCrkg2CBQg’, ‘port’: ‘22’}

🔗 Source originale : https://blog.lumen.com/silence-of-the-hops-the-kadnap-botnet/