Bienvenue dans le billet qui pique — et qui sert à quelque chose. Ces derniers jours, la ménagerie numérique s’est agrandie : un botnet « explosif », un trojan bancaire malin comme un singe, un infostealer déguisé en jeu, et une backdoor Rust qui se nourrit de comptes de service AD trop permissifs. On explique tout, on démontre les risques et — surtout — comment s’en débarrasser proprement, sans panique, mais avec les bons gestes.
🧬 RondoDox — le « fouiller-tout » des IoT
RondoDox n’est pas un botnet timide : il balaie le catalogue des failles et exploite plus de 50 vulnérabilités touchant des appareils de plus de 30 fournisseurs — routeurs, DVR/NVR, caméras, petits serveurs web embarqués… Bref, tout ce qui traîne connecté au réseau et jamais mis à jour. Le mode opératoire ? Un « exploit shotgun » : pas besoin d’une faille 0-day sublime, la botnet s’appuie sur une combinaison de failles anciennes et récentes pour inonder des équipements souvent abandonnés. The Hacker News
Risques et méfaits : réseau ralenti par des DDoS, appareils transformés en proxies pour d’autres attaques, exfiltration d’informations (caméras, enregistrements) et location de botnet à d’autres cybercriminels.
Comment s’en débarrasser : patcher (firmware + OS), remplacer le matériel obsolète, segmenter les réseaux (IoT hors VLAN de production), désactiver l’accès distant non nécessaire, surveiller les connexions sortantes inhabituelles et bloquer les firmwares/firmwares vendors compromis au niveau du pare-feu. Plus prosaïquement : changez les mots de passe par défaut et activez les mises à jour automatiques si possible. www.trendmicro.com
🧬 Astaroth — le trojan bancaire qui abuse de GitHub
Astaroth est un classique réinventé : plutôt que de dépendre d’un C2 centralisé, il cache ses configurations sur des dépôts GitHub. Quand des chercheurs ou des forces de l’ordre démantèlent des serveurs de commande, Astaroth va piocher une nouvelle configuration sur GitHub et continue sa besogne — résilience low-cost et légale, le cauchemar des takedowns traditionnels. Résultat : infections persistantes et campagnes bancaires plus difficiles à neutraliser. The Hacker News
Risques et méfaits : usurpation d’identité financière, keylogging, capture de formulaires, vol de cookies et d’identifiants bancaires — souvent invisible pour l’utilisateur lambda jusqu’à la fraude.
Comment s’en débarrasser : détecter les comportements anormaux (processus inconnus lançant connexions HTTPS vers GitHub ou domaines suspects), renforcer EDR/AV avec IOC récents, bloquer les dépôts malveillants signalés (à l’échelle entreprise via allowlists/denylists), appliquer la défense en profondeur (MFA pour les accès sensibles, hardening des postes, isolation des sessions bancaires). Travailler avec les équipes d’OSINT pour signaler et faire supprimer les repos malveillants. McAfee
🧬 Stealit — l’infostealer qui se fait passer pour un jeu
La tactique est old school mais efficace : la victime télécharge un faux installateur (jeu indie, VPN gratuit) depuis MediaFire, Discord ou un lien malveillant — et se retrouve avec un voleur de données basé sur Node.js SEA et parfois Electron. Ces packagers rendent l’exécutable autonome et plus difficile à analyser pour les défenses classiques. Le malware collecte mots de passe, cookies, credentials de jeux, portefeuilles et QI émotionnel du joueur qui pensait juste installer un mod. The Hacker News
Risques et méfaits : vol massif d’identifiants, comptes de jeux compromis, fraude financière et propagation via les communautés (amis qui reçoivent les mêmes « installeurs »).
Comment s’en débarrasser : n’installez jamais d’outils piratés ou d’installateurs non vérifiés ; vérifiez les signatures numériques ; utilisez des solutions d’isolation (VM, sandbox) pour tester des binaires suspects ; éduquez les utilisateurs sur les canaux de distribution officiels ; déployez détection des exécutables Node/Electron packagés dans votre environnement et bloquez les vecteurs de distribution (domaines MediaFire malveillants, liens Discord signalés). Fortinet
🧬 ChaosBot (Rust) — backdoor Discord & AD trop permissif
ChaosBot, écrit en Rust, est moderne et ciblé : contrôle via Discord (canal C2), capacité à exécuter commandes sur postes compromis, et — détail qui tue — exploitation d’un compte AD « serviceaccount » avec des droits excessifs pour se propager latéralement. Traduction : une mauvaise gestion des comptes de service + un canal Discord mal surveillé = porte ouverte pour les acteurs malveillants. The Hacker News
Risques et méfaits : accès latéral, exfiltration de données sensibles, exécution de commandes sur serveurs, et tout ça sous le couvert de trafic Discord légitime.
Comment s’en débarrasser : revoir la gouvernance des comptes de service (principe du moindre privilège), appliquer des politiques de délégation RBAC strictes, surveiller l’utilisation des tokens et sessions AD, segmenter les droits, désactiver l’utilisation de comptes humains pour des tâches automatisées, et bloquer ou surveiller les communications sortantes vers des services de messagerie non approuvés (Discord, Slack non gérés). The Hacker News
En conclusion — pas de panique, mais pas d’angélisme non plus
La recette des campagnes récentes mêle automatisation, abuse de services publics (GitHub, Discord), contournement des takedowns et exploitation de la négligence (mots de passe par défaut, firmware non patché, comptes service permissifs). La réponse est double : techniques (patchs, segmentation, détections comportementales, MFA, EDR/IDS/TI) et humaines (formation, gouvernance, playbooks d’incident). Si vous ne retirez qu’une chose de cet article piquant : arrêtez d’espérer que « ça n’arrive qu’aux autres » — et commencez par l’inventaire des équipements, la rotation des credentials et la révision des comptes de service. Vos caméras, vos routeurs et votre AD vous remercieront (ou au moins vous éviteront d’appeler un forensique en pyjama).
