**Le botnet Mirai exploite une vulnérabilité non corrigée des routeurs D-Link** Une nouvelle campagne de malware basée sur **Mirai** exploite activement **CVE-2025-29635**, une vulnérabilité d'injection de commande de haute gravité affectant les routeurs **D-Link DIR-823X**, afin d'enrôler des appareils dans le botnet. **CVE-2025-29635** permet à un attaquant d'exécuter des commandes arbitraires sur des appareils distants en envoyant une requête POST à un point de terminaison vulnérable, déclenchant une exécution de commande à distance (RCE). Le SIRT d'**Akamai**, qui a détecté la campagne **Mirai** en mars 2026, rapporte que, bien que la faille ait été divulguée pour la première fois il y a 13 mois par les chercheurs en sécurité Wang Jinshuai et Zhao Jiangting, c'est la première fois qu'une exploitation active dans la nature est observée. « Le SIRT d'**Akamai** a découvert des tentatives d'exploitation actives de la vulnérabilité d'injection de commande **D-Link** **CVE-2025-29635** dans notre réseau mondial de honeypots début mars 2026 », indique le rapport d'**Akamai**. « Cette vulnérabilité existe dans les routeurs de la série **D-Link DIR-823X** dans les versions de firmware 240126 et 24082, et permet à un attaquant autorisé d'exécuter des commandes arbitraires sur des appareils distants en envoyant une requête POST au point de terminaison /goform/set_prohibiting via la fonction correspondante, ce qui peut déclencher une exécution de commande à distance. » Les chercheurs qui ont découvert la faille ont brièvement publié un proof-of-concept (PoC) exploit sur GitHub, mais l'ont ensuite retiré. Les observations d'**Akamai** montrent que les attaquants envoient des requêtes POST qui changent de répertoire sur des chemins inscriptibles, téléchargent un script shell (dlink.sh) depuis une adresse IP externe et l'exécutent.  *Source : Akamai* Le script installe un malware basé sur **Mirai** nommé « tuxnokill », qui prend en charge plusieurs architectures. En termes de capacités, il présente le répertoire standard d'attaques par déni de service distribué (DDoS) de **Mirai**, y compris les floods TCP SYN/ACK/STOMP, UDP et HTTP null. **Akamai** a également constaté que l'acteur de la menace derrière cette campagne exploite également **CVE-2023-1389**, affectant les routeurs **TP-Link**, et une faille RCE distincte dans les routeurs **ZTE ZXV10 H108L**. Le même schéma d'attaque a été observé sur tous ces appareils, conduisant au déploiement d'un payload **Mirai**. Les appareils affectés ont atteint leur fin de vie (EoL) en novembre 2024, il est donc probable que le dernier firmware disponible pour le modèle ne corrige pas **CVE-2025-29635**. **D-Link** ne fait pas d'exceptions lorsque une exploitation active est détectée, il est donc peu probable que le fournisseur fournisse un correctif maintenant. BleepingComputer a contacté **D-Link** pour obtenir des informations sur l'activité signalée et le statut du correctif, et nous mettrons à jour cet article dès que nous aurons une réponse. En attendant, il est recommandé aux utilisateurs de routeurs qui ont atteint leur fin de vie de passer à un modèle plus récent bénéficiant d'un support actif avec des correctifs de sécurité fréquents, de désactiver les portails d'administration à distance si non nécessaires, de changer les mots de passe administrateur par défaut et de surveiller les changements de configuration inattendus.