Les routeurs Archer TP-Link non corrigés sont devenus la cible d’une nouvelle campagne de botnet surnommée Ballista, selon de nouvelles conclusions de l’équipe Cato Ctrl.
“Le botnet exploite une vulnérabilité d’exécution de code distant (RCE) dans les routeurs d’archer TP-Link (CVE-2023-1389) pour se propager automatiquement sur Internet”, a déclaré les chercheurs en sécurité Ofek Vardi et Matan Mttelman dans une technique dans une technique rapport partagé avec les actualités des pirates.
CVE-2023-1389 est un défaut de sécurité à haute sévérité ayant un impact sur les routeurs Archer AX-21 TP-Link qui pourraient conduire à l’injection de commande, ce qui pourrait ensuite ouvrir la voie à l’exécution du code distant.
La première preuve d’exploitation active de la faille remonte à avril 2023, avec des acteurs de menace non identifiés qui l’utilisent pour abandonner le malware Mirai Botnet. Depuis lors, il a également été maltraité pour propager d’autres familles de logiciels malveillants comme Condi et AndroxGH0st.
Cato Ctrl a déclaré avoir détecté la campagne de Ballista le 10 janvier 2025. La plus récente tentative d’exploitation a été enregistrée le 17 février.
La séquence d’attaque implique l’utilisation d’un compte-gouttes malware, un script shell (“dropbpb.sh”) conçu pour récupérer et exécuter le binaire principal sur le système cible pour diverses architectures système telles que MIPS, MIPSEL, ARMV5L, ARMV7L et X86_64.
Une fois exécuté, le logiciel malveillant établit un canal de commande et de contrôle crypté (C2) sur le port 82 afin de prendre le contrôle de l’appareil.
“Cela permet aux commandes de Shell en cours d’exécution de mener d’autres attaques RCE et déni de service (DOS)”, ont déclaré les chercheurs. “De plus, le malware tente de lire des fichiers sensibles sur le système local.”
Certaines des commandes prises en charge sont répertoriées ci-dessous –
- Fonder, qui déclenche une attaque d’inondation
- Exploiter, qui exploite CVE-2023-1389
- Démarrer, un paramètre facultatif utilisé avec l’exploitant pour démarrer le module
- Fermer, qui arrête la fonction de déclenchement du module
- Shell, qui exécute une commande shell Linux sur le système local.
- Killall, qui est utilisé pour résilier le service
De plus, il est capable de mettre fin aux instances précédentes et d’effacer sa propre présence une fois l’exécution au début. Il est également conçu pour se propager à d’autres routeurs en essayant d’exploiter la faille.
L’utilisation de l’emplacement de l’adresse IP C2 (2.237.57[.]70) et la présence de cordes en langue italienne dans les binaires malveillants suggèrent l’implication d’un acteur de menace italien inconnu, a déclaré la société de cybersécurité.
Cela dit, il semble que les logiciels malveillants soient en cours de développement actif étant donné que l’adresse IP n’est plus fonctionnelle et qu’il existe une nouvelle variante du compte-gouttes qui utilise des domaines réseau TO au lieu d’une adresse IP à code dur.
Une recherche sur les censures de la plate-forme de gestion de la surface d’attaque révèle que plus de 6 000 appareils sont infectés par Ballista. Les infections sont concentrées autour du Brésil, de la Pologne, du Royaume-Uni, de la Bulgarie et de la Turquie.
Le botnet cible les organisations de fabrication, de soins médicaux / de santé, de services et de technologie aux États-Unis, en Australie, en Chine et au Mexique.
“Bien que cet échantillon de malware partage des similitudes avec d’autres botnets, il reste distinct des botnets largement utilisés tels que Mirai et Mozi”, ont déclaré les chercheurs.




