### Appareils TBK DVR Ciblés via CVE-2024-3721 **Fortinet** rapporte que des attaquants exploitent **CVE-2024-3721** (score CVSS : 6.3), une vulnérabilité d'injection de commande, dans les enregistreurs vidéo numériques **TBK DVR-4104** et **DVR-4216**. Cette faille permet le déploiement d'une variante de **Mirai** baptisée **Nexcorium**. Le chercheur en sécurité Vincent Li a noté : « Les appareils IoT sont de plus en plus des cibles de choix pour les attaques à grande échelle en raison de leur utilisation généralisée, de l'absence de correctifs et de leurs paramètres de sécurité souvent faibles. Les acteurs malveillants continuent d'exploiter les vulnérabilités connues pour obtenir un accès initial et déployer des malwares qui peuvent persister, se propager et causer des attaques par déni de service distribué (DDoS). » Cette vulnérabilité a déjà été exploitée pour déployer d'autres variantes de **Mirai** et le botnet **RondoDox**. En septembre 2025, **CloudSEK** a révélé un botnet de type loader-as-a-service distribuant des payloads **RondoDox**, **Mirai** et **Morte**. La chaîne d'exploitation implique l'utilisation de **CVE-2024-3721** pour télécharger et exécuter un script qui récupère le payload du botnet en fonction de l'architecture du système. Une fois exécuté, le malware affiche « nexuscorp has taken control ». ### Capacités du Botnet Nexcorium **Nexcorium** partage des similitudes architecturales avec d'autres variantes de **Mirai**, notamment une configuration encodée en XOR, un module de surveillance (watchdog) et des capacités d'attaque DDoS. Le malware exploite également **CVE-2017-17215** pour cibler les appareils **Huawei HG532**. Il utilise en outre une liste d'identifiants codés en dur pour des attaques par force brute via Telnet. Les connexions réussies mènent à un accès shell, à la mise en place de la persistance via crontab et systemd, et à une connexion à un serveur externe pour les commandes DDoS (UDP, TCP et SMTP). Le binaire téléchargé initialement est ensuite supprimé pour entraver l'analyse. **Fortinet** souligne que **Nexcorium** présente les caractéristiques typiques des botnets IoT modernes, combinant l'exploitation de vulnérabilités, le support multi-architecture et des mécanismes de persistance. Son utilisation d'exploits connus comme **CVE-2017-17215** et ses capacités étendues de force brute améliorent sa portée d'infection. ### Tentatives d'Exploitation de Vulnérabilité de Routeur TP-Link (CVE-2023-33538) **Unit 42** a détecté des scans actifs ciblant **CVE-2023-33538** (score CVSS : 8.8), une vulnérabilité d'injection de commande affectant les routeurs sans fil **TP-Link** en fin de vie. Bien que les attaques observées aient été défectueuses, la vulnérabilité sous-jacente est confirmée. Cette faille a été ajoutée au catalogue des Vulnérabilités Connues et Exploitées (KEV) de la **CISA** en juin 2025 et affecte les modèles suivants : * TL-WR940N v2 et v4 * TL-WR740N v1 et v2 * TL-WR841N v8 et v10 Les chercheurs Asher Davila, Malav Vyas et Chris Navarrete de **Unit 42** ont déclaré qu'une exploitation réussie nécessite une authentification à l'interface web du routeur. Les attaques tentent de déployer un malware de type botnet **Mirai** faisant référence à "Condi". Le malware peut se mettre à jour et agir comme un serveur web pour propager l'infection. ### Atténuation et Recommandations Étant donné que les appareils **TP-Link** affectés ne sont plus pris en charge, les utilisateurs doivent les remplacer par des modèles plus récents et éviter d'utiliser les identifiants par défaut. **Unit 42** avertit que les identifiants par défaut dans les appareils IoT restent un risque de sécurité important, transformant les vulnérabilités authentifiées en points d'entrée critiques pour les attaquants.