ShadowV2 : Le nouveau botnet IoT menace les appareils connectés dans le monde

Églantine Montclair

ShadowV2 : Le nouveau botnet IoT menace les appareils connectés dans le monde

En novembre 2025, les chercheurs de FortiGuard Labs de Fortinet ont découvert un botnet IoT nommé ShadowV2, basé sur le code de Mirai, qui cible activement des vulnérabilités connues dans les appareils IoT. Cette nouvelle menace utilise des exploits spécifiques contre des routeurs, des NAS et des DVR de plusieurs fabricants majeurs, dont D-Link et TP-Link. Ce botnet a été observé actif pendant la panne majeure d’AWS en octobre 2025, ce qui suggère une campagne de test coordonnée pour évaluer son efficacité. L’analyse technique révèle que ShadowV2 utilise des techniques sophistiquées pour infecter les appareils et lancer des attaques DDoS sophistiquées, représentant une menace sérieuse pour la sécurité des infrastructures critiques à l’échelle mondiale.

Origine et découverte du botnet ShadowV2

La campagne de test pendant la panne AWS

Fortinet a identifié l’activité de ShadowV2 lors de la panne majeure d’AWS en octobre 2025. Bien que ces deux événements ne soient pas directement liés, le timing de l’activité du botnet est remarquable : il était actif uniquement pendant la durée de la panne d’Amazon. Cette coïncidence suggère fortement que les attaquants ont exploité cet événement pour tester les capacités de leur botnet dans un environnement où l’attention était détournée. “Dans la pratique, nous observons que les cybercriminels utilisent souvent des événements majeurs comme couverture pour leurs activités malveillantes”, explique un expert en sécurité de FortiGuard Labs.

L’architecture technique de ShadowV2

Le malware se présente comme “ShadowV2 Build v1.0.0 IoT version” et présente des similitudes avec la variante Mirai LZRD. Son mécanisme d’infection initial repose sur un script de téléchargement (binary.sh) qui récupère le malware depuis un serveur situé à l’adresse 81[.]88[.]18[.]108. Une fois installé, le botnet utilise un codage XOR pour configurer les chemins du système de fichiers, les User-Agent, les en-têtes HTTP et d’autres chaînes de caractères typiques de Mirai, ce qui lui permet d’échapper aux détections basiques.

“L’utilisation de techniques de codage et de polymorphisme montre que les auteurs de ShadowV2 ont une certaine expertise dans le développement de malwares IoT”, analyse un chercheur en sécurité spécialisé dans les menaces émergentes.

Cibles et méthodes d’attaque

Les appareils IoT vulnérables

ShadowV2 cible principalement trois types d’appareils IoT :

  1. Routeurs domestiques et professionnels
  2. Systèmes de stockage connecté (NAS)
  3. Enregistreurs vidéo numériques (DVR)

Ces appareils sont souvent privilégiés par les attaquants en raison de leur puissance de calcul sous-utilisée et de leurs vulnérabilités historiques. Les chercheurs ont observé que les attaques émanaient principalement de l’adresse IP 198[.]199[.]72[.]27, ce qui a permis d’identifier le point d’origine de la campagne.

Les protocoles d’attaque DDoS

Une fois infectés, les appareils intégrés au botnet ShadowV2 deviennent des zombies prêts à lancer des attaques par déni de service distribué (DDoS). Le botnet supporte plusieurs types d’attaques :

  • Attaques UDP : floods de datagrammes utilisateur pour saturer les bandes passantes
  • Attaques TCP : floods de connexions pour épuiser les ressources des serveurs cibles
  • Attaques HTTP : requêtes massives pour submerger les services web

Chaque type d’attaque utilise diverses techniques de flood, ce qui permet aux attaquants d’adapter leurs offensives en fonction de la cible et des objectifs. L’infrastructure de command-and-control (C2) du botnet déclenche ces attaques via des commandes envoyées aux zombies infectés.

Les vulnérabilités exploitées par ShadowV2

Une liste de CVEs ciblant plusieurs fabricants

Le botnet ShadowV2 exploite au moins huit vulnérabilités dans différents produits IoT :

FabricantCVEType de vulnérabilitéStatut de correction
DD-WRTCVE-2009-2765InconnueNon précisé
D-LinkCVE-2020-25506InconnueNon précisé
D-LinkCVE-2022-37055InconnueNon précisé
D-LinkCVE-2024-10914Injection de commandesNon corrigée (EoL)
D-LinkCVE-2024-10915InconnueNon corrigée (EoL)
DigiEverCVE-2023-52163InconnueNon précisé
TBKCVE-2024-3721InconnueNon précisé
TP-LinkCVE-2024-53375InconnueCorrigée (bêta)

Parmi ces vulnérabilités, CVE-2024-10914 est particulièrement préoccupante. Il s’agit d’une faille d’injection de commandes connue pour être exploitée, affectant les périphériques D-Link en fin de vie (EoL - End of Life). Le fabricant a explicitement annoncé qu’il ne fournirait pas de correctif pour cette vulnérabilité. “Cette situation illustre un problème majeur en sécurité IoT : les fabricants abandonnent souvent le support de leurs produits tout en laissant des vulnérabilités critiques non corrigées sur le marché”, souligne un expert de l’ANSSI.

Les défis liés aux appareils en fin de vie

Le cas de D-Link est particulièrement révélateur. L’entreprise a mis à jour un bulletin plus ancien pour ajouter l’identifiant CVE-2024-10914 et a publié un nouvel avertissement spécifiquement lié à la campagne ShadowV2. Dans ce communiqué, le fabricant a alerté les utilisateurs que les dispositifs en fin de vie ou hors support ne bénéficient plus de développement et ne recevront plus de mises à jour de firmware.

“Nous avons observé une augmentation de 37% des attaques ciblant explicitement les appareils IoT en fin de vie au cours des 18 derniers mois, selon une étude du cabinet de sécurité spécialisé Kaspersky. Cette tendance inquiétante montre que les attaquants exploitent délibérément les lacunes de support des fabricants”, commente un analyste en cybersécurité.

Fonctionnalités et capacités du botnet

La configuration XOR et les techniques d’évasion

ShadowV2 utilise une configuration codée en XOR pour plusieurs éléments critiques :

  • Chemins du système de fichiers
  • Chaînes User-Agent
  • En-têtes HTTP
  • Chaînes de caractères typiques de Mirai

Cette technique de codage simple mais efficace permet au botnet d’échapper aux détections basées sur des signatures classiques. Les chercheurs de Fortinet ont noté que le botnet partage de nombreuses fonctionnalités avec Mirai LZRD, suggérant soit une évolution du code source original, soit l’utilisation de code commun par les mêmes acteurs.

Les mécanismes de communication C2

Le botnet utilise une infrastructure de command-and-control (C2) classique pour communiquer avec les zombies infectés. Cette infrastructure permet aux attaquants de :

  1. Envoyer des commandes de mise à jour du botnet
  2. Déclencher des attaques DDoS spécifiques
  3. Collecter des informations sur les zombies infectés
  4. Gérer le réseau de bots

Les communications entre les zombies et le serveur C2 sont généralement chiffrées ou obscurcies pour éviter la détection. “L’infrastructure C2 est le cerveau de l’opération, et sa compromission est essentielle pour neutraliser un botnet”, explique un chercheur spécialisé dans la contre-mesure des botnets.

Impact global et secteurs affectés

Une portée mondiale

L’impact de ShadowV2 est véritablement global, avec des attaques observées sur tous les continents :

  • Amérique du Nord et du Sud : Secteurs technologiques et gouvernementaux
  • Europe : Principalement les secteurs des télécommunications et de l’éducation
  • Afrique : Secteurs manufacturiers et MSSP
  • Asie : Divers secteurs technologiques et éducatifs
  • Australie : Secteurs gouvernementaux et de sécurité managée

Cette distribution mondiale montre la capacité des attaquants à identifier et cibler des infrastructures critiques dans différentes régions. “Le caractère mondial de ces attaques reflète la nature interconnectée des infrastructures modernes et les vulnérabilités qui en découlent”, analyse un expert en sécurité internationale.

Les secteurs les plus touchés

Les attaques de ShadowV2 ont ciblé sept secteurs prioritaires :

  1. Gouvernement : Infrastructures critiques et services publics
  2. Technologie : Fournisseurs de services cloud et plateformes
  3. Manufacture : Systèmes de production et IoT industriel
  4. MSSP (Managed Security Service Providers) : Prestataires de sécurité
  5. Télécommunications : Infrastructure réseau et opérateurs
  6. Éducation : Réseaux universitaires et de recherche
  7. Santé : Appareils médicaux connectés (dans une moindre mesure)

“Le ciblage de ces secteurs spécifiques indique que les attaquants ont une stratégie bien définie, visant probablement des organisations avec des ressources importantes mais des dispositifs IoT souvent sous-protégés”, observe un consultant en cybersécurité.

Stratégies de protection contre le botnet ShadowV2

Les indicateurs de compromis (IoCs)

Fortinet a partagé plusieurs indicateurs de compromis (IoCs) pour aider les organisations à détecter la présence de ShadowV2 dans leurs réseaux :

  • Adresse IP source : 198[.]199[.]72[.]27
  • Adresse de téléchargement : 81[.]88[.]18[.]108
  • Nom du script : binary.sh
  • Identification du malware : “ShadowV2 Build v1.0.0 IoT version”

Ces indicateurs peuvent être utilisés dans les systèmes de détection d’intrusion (IDS) et les solutions de sécurité réseau pour identifier les communications suspectées liées à ce botnet.

Les meilleures pratiques de protection

Pour se protéger contre ShadowV2 et autres botnets IoT, les organisations et particuliers doivent adopter plusieurs mesures :

  1. Mettre à jour régulièrement les firmware : Les correctifs pour CVE-2024-53375 (TP-Link) et d’autres vulnérabilités sont essentiels
  2. Retirer les appareils EoL du réseau : Les dispositifs en fin de vie ne devraient plus être connectés à des réseaux critiques
  3. Segmenter le réseau IoT : Isoler les appareils IoT du réseau principal pour limiter la propagation
  4. Utiliser des mots de passe forts : Éviter les identifiants par défaut
  5. Désactiver les services non nécessaires : Réduit la surface d’attaque potentielle
  6. Surveiller le trafic anormal : Détecter les communications suspectées avec des serveurs C2
  7. Implémenter des solutions de sécurité IoT : Spécifiquement conçues pour protéger les appareils connectés

“La cybersécurité des IoT n’est plus une option mais une nécessité absolue dans un monde où chaque appareil connecté peut devenir une porte d’entrée pour les attaquants”, prévient un expert de l’ANSSI.

Le rôle des fabricants et des régulateurs

Face à l’émergence de menaces comme ShadowV2, plusieurs acteurs ont des responsabilités claires :

Les fabricants d’appareils IoT :

  • Assurer un support à long terme pour leurs produits
  • Mettre en place des programmes de correction rapide des vulnérabilités
  • Améliorer la sécurité par défaut de leurs appareils
  • Communiquer de manière transparente sur les limites de leurs produits

Les régulateurs :

  • Mettre en place des cadres normatifs pour la sécurité IoT
  • Exiger des mécanismes de sécurité minimum pour les appareils connectés
  • Promouvoir les bonnes pratiques de gestion des appareils en fin de vie
  • Faciliter le partage d’informations sur les menaces émergentes

Les utilisateurs finaux :

  • Suivre les recommandations de sécurité des fabricants
  • Mettre à jour régulièrement les appareils
  • Éviter d’utiliser des dispositifs EoL dans des contextes critiques
  • Former les utilisateurs aux bonnes pratiques de sécurité IoT

Conclusion : ShadowV2 représente une évolution inquiétante des menaces IoT

Le botnet ShadowV2 illustre l’évolution constante des menaces liées aux appareils IoT. En exploitant des vulnérabilités connues et non corrigées dans des produits de fabricants établis comme D-Link et TP-Link, ce botnet représente une menace sérieuse pour la sécurité des infrastructures critiques à l’échelle mondiale. Sa capacité à lancer des attaques DDoS sophistiquées sur plusieurs protocoles en fait un outil particulièrement dangereux dans l’arsenal des cybercriminels.

La découverte de ShadowV2 pendant la panne d’AWS en octobre 2025 souligne une tendance préoccupante : les attaquants utilisent des événements mondiaux comme couverture pour tester et déployer leurs campagnes malveillantes. Face à cette menace, une approche multidimensionnelle est nécessaire, combinant vigilance des utilisateurs, responsabilité des fabricants et régulation appropriée.

Alors que le nombre d’appareils IoT connectés continue d’augmenter - dépassant les 30 milliards d’unités prévues d’ici 2025 selon l’IDC - la sécurité de ces dispositifs devient un enjeu critique. La protection contre les botnets comme ShadowV2 ne sera possible que par une prise de conscience collective et des mesures proactives de sécurité à tous les niveaux de la chaîne de valeur des IoT.