Netcrook Logo
👤 CIPHERWARDEN
🗓️ 18 Oct 2025   🗂️ Threats    

DNS Détour : Comment « Detour Dog » a détourné 30 000 sites web (et vous ne l’avez jamais remarqué)

Un groupe de cybercriminels de l’ombre a discrètement infecté des dizaines de milliers de sites, utilisant des astuces DNS invisibles pour propager un puissant malware à travers le monde.

En Bref

  • Detour Dog, un groupe de cybercriminels, a infecté plus de 30 000 sites web depuis 2020.
  • Le groupe détourne des sites en utilisant une technique furtive basée sur le DNS, invisible pour la plupart des visiteurs.
  • Le malware Strela Stealer, diffusé via ces attaques, peut voler des informations sensibles aux victimes.
  • Les opérations malveillantes ont touché 89 pays, avec le plus fort trafic provenant des États-Unis, d’Allemagne et de Taïwan.
  • Les attaques contournent souvent les outils de sécurité traditionnels, rendant leur détection difficile.

Le braquage numérique à la vue de tous

Imaginez une ville animée, ses rues apparemment sûres - pourtant, sous la surface, un réseau de voleurs silencieux détourne à leur insu les citoyens vers le danger. C’est le monde que Detour Dog a construit en ligne. Depuis 2020, ce groupe de cybercriminels persistant détourne discrètement les « carnets d’adresses » d’Internet - connus sous le nom de Domain Name System, ou DNS - pour infecter plus de 30 000 sites à travers le monde. La plupart des visiteurs ne remarquent rien d’anormal, mais pour quelques élus, un simple clic peut déclencher un malware qui vole des secrets personnels en quelques secondes.

DNS : la porte dérobée secrète

Le génie de Detour Dog réside dans sa subtilité. Au lieu de défigurer les sites ou d’inonder les utilisateurs de pop-ups, le groupe manipule une partie cachée du fonctionnement d’Internet : les enregistrements DNS, et plus précisément ce qu’on appelle les enregistrements TXT. Considérez le DNS comme l’opérateur du standard d’Internet - quand vous saisissez un site web, le DNS indique à votre appareil où aller. En glissant des commandes malveillantes dans ces enregistrements, Detour Dog indique discrètement aux sites infectés quand rediriger les visiteurs vers des arnaques ou déclencher des téléchargements de malware, le tout sans laisser de traces évidentes.

Des recherches menées par Infoblox révèlent à quel point l’attaque est sélective. Neuf visites sur dix semblent normales ; seule une infime fraction - selon votre appareil ou votre localisation - est réellement ciblée. Cela permet aux sites infectés de rester compromis pendant plus d’un an, car la plupart des gens et des outils de sécurité ne voient rien de suspect.

Des arnaques d’affiliation au vol de secrets

Le parcours criminel de Detour Dog a commencé avec des arnaques de bas niveau transitant par des réseaux d’affiliation comme Los Pollos. Mais en 2025, leurs tactiques se sont intensifiées. Ils se sont associés à d’autres acteurs malveillants, tels que Hive0145, pour distribuer un malware voleur d’informations notoire appelé Strela Stealer. Ce malware, diffusé via une porte dérobée appelée StarFish et propagé par des botnets comme REM Proxy et Tofsee, est conçu pour siphonner mots de passe, identifiants et autres données sensibles des ordinateurs des victimes.

L’infrastructure est massive : à son apogée, un seul serveur compromis recevait plus de deux millions de requêtes DNS furtives par heure. Bien qu’une partie du trafic semble automatisée - peut-être par des bots ou même des réseaux gouvernementaux - l’ampleur souligne la large diffusion de ces infections. Detour Dog contrôlait près de 70 % des domaines utilisés lors de la campagne de juin-juillet 2025.

Pourquoi cette attaque est importante

Le détournement DNS n’est pas nouveau, mais la campagne de Detour Dog est d’une sophistication inhabituelle. Des incidents passés, comme la célèbre opération DNSChanger (démantelée par le FBI en 2011), détournaient le trafic web des utilisateurs de façon plus grossière. L’utilisation par Detour Dog des enregistrements TXT pour des signaux secrets et une activation rare et ciblée marque un bond en avant en matière de furtivité. Leur méthode échappe à la plupart des outils antivirus, rendant la sécurité web traditionnelle presque inutile face à ce type d’attaque.

Avec une grande partie du trafic web mondial transitant par une poignée de fournisseurs DNS et de géants de l’hébergement, des attaques comme celle-ci ont des implications majeures. Elles montrent à quel point les groupes criminels innovent plus vite que les défenseurs, et comment la plomberie même d’Internet peut être transformée en arme.

À mesure que le monde numérique devient toujours plus complexe, la campagne de Detour Dog rappelle crûment ceci : parfois, les menaces les plus dangereuses sont celles que l’on ne voit jamais. Pour l’instant, la meilleure défense pourrait être la vigilance au cœur même du réseau - surveiller les surveillants, et questionner les mains invisibles derrière nos clics quotidiens.

WIKICROOK

  • Détournement DNS : Le détournement DNS se produit lorsque des attaquants modifient secrètement les paramètres DNS, redirigeant les utilisateurs vers des sites factices ou dangereux à leur insu pour voler des données ou propager des malwares.
  • Enregistrements TXT : Les enregistrements TXT sont des champs DNS permettant de stocker des données textuelles, souvent utilisés pour la vérification et la sécurité des emails, mais parfois détournés par des attaquants pour cacher des commandes.
  • Malware : Un malware est un logiciel malveillant conçu pour s’infiltrer, endommager ou voler des données sur des appareils informatiques sans le consentement de l’utilisateur.
  • Botnet : Un botnet est un réseau d’appareils infectés contrôlés à distance par des cybercriminels, souvent utilisé pour lancer des attaques à grande échelle ou voler des données sensibles.
  • Information Stealer : Un Information Stealer est un malware qui collecte secrètement des données personnelles, comme des mots de passe ou des informations financières, et les envoie à des cybercriminels.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news