Netcrook Logo
👤 TRUSTBREAKER
🗓️ 20 Apr 2026  

Botnet Blitz : Comment les hackers ont transformé les DVR TBK en une armée mondiale de DDoS

Une vulnérabilité récemment découverte dans les DVR TBK alimente un botnet sophistiqué basé sur Mirai qui menace la sécurité des objets connectés dans le monde entier.

Tard dans la nuit, des milliers d’yeux numériques se sont ouverts - non pas dans une salle de surveillance, mais au sein de botnets contrôlés par des hackers à travers le monde. Le coupable : une nouvelle faille dévastatrice visant les enregistreurs vidéo numériques (DVR) TBK, transformant des dispositifs de sécurité ordinaires en soldats involontaires pour des cyberattaques massives. Bienvenue en première ligne de la campagne du botnet Nexcorium, où votre caméra de sécurité pourrait devenir la prochaine arme d’une guerre invisible.

En bref

  • CVE-2024-3721 est une faille critique d’injection de commandes système dans les appareils DVR TBK, actuellement exploitée activement.
  • Les attaquants déploient Nexcorium - une variante de Mirai capable de cibler plusieurs architectures d’appareils (ARM, MIPS, x86-64).
  • Des en-têtes distinctifs “X-Hacked-By: Nexus Team – Exploited By Erratic” relient la campagne à un nouveau groupe de menaces.
  • Nexcorium exploite à la fois des vulnérabilités récentes et anciennes, ainsi que des attaques par force brute, pour maximiser le taux d’infection.
  • Le malware permet une grande variété d’attaques DDoS, toutes contrôlées à distance par des cybercriminels.

Au cœur de l’offensive Nexcorium

L’exploitation de CVE-2024-3721 illustre parfaitement comment des objets connectés (IoT) mal sécurisés peuvent devenir des vecteurs d’attaques numériques à grande échelle. En manipulant les paramètres “mdb” et “mdc” des DVR TBK, les attaquants obtiennent une exécution de commandes à distance, ouvrant la voie à une nouvelle souche de malware basée sur Mirai, baptisée Nexcorium.

L’enquête de FortiGuard Labs révèle une approche multi-architecture : le script shell initial “dvr” télécharge des charges Nexcorium adaptées à une variété d’appareils - des routeurs grand public aux systèmes de sécurité professionnels. Une fois infiltré, le malware proclame : “nexuscorp a pris le contrôle”, un message glaçant pour quiconque surveille les journaux de son appareil.

La conception de Nexcorium est à la fois robuste et implacable. Sa configuration est dissimulée derrière un chiffrement XOR, cachant les serveurs de commande et de contrôle (C2), les instructions d’attaque et les exploits intégrés. Le malware ne se limite pas aux nouvelles vulnérabilités ; il embarque aussi un exploit pour l’ancienne CVE-2017-17215, ciblant les routeurs Huawei, et s’appuie sur des listes codées en dur pour forcer les identifiants Telnet faibles - une double stratégie pour propager l’infection.

La persistance est essentielle : Nexcorium modifie les fichiers système, crée de nouveaux services et programme des tâches cron pour survivre aux redémarrages et aux tentatives de suppression. Il utilise même le hachage pour détecter toute altération, se répliquant sous de nouveaux noms en cas de menace - un comportement plus proche du parasite numérique que du simple malware.

Une fois installé, le botnet devient un canon DDoS télécommandé. Les opérateurs peuvent déclencher des déferlements de paquets UDP, TCP (SYN, ACK, PSH, URG), SMTP et plus encore, ou amplifier les attaques avec des techniques spécialisées. Les commandes du C2 permettent d’adapter, d’arrêter ou même d’auto-détruire les appareils infectés à volonté.

Peut-être plus inquiétant encore : l’ampleur et l’assurance de la campagne. L’en-tête HTTP personnalisé utilisé lors des attaques fait office de carte de visite pour le soi-disant “Nexus Team”, signe que les acteurs de la menace d’aujourd’hui sont aussi audacieux que compétents. Alors que des millions d’objets connectés restent non corrigés et exposés, le risque s’accroît - surtout là où les identifiants par défaut et les firmwares obsolètes sont la norme.

Conclusion

La campagne Nexcorium rappelle brutalement qu’un appareil non sécurisé est un pion potentiel entre les mains des cybercriminels. À mesure que les botnets deviennent plus adaptatifs et agressifs, organisations et particuliers doivent suivre le rythme - corriger les vulnérabilités, désactiver les services à risque et surveiller les signes de compromission. Dans la course aux armements de la sécurité IoT, la vigilance n’est plus une option, mais une nécessité.

WIKICROOK

  • Botnet : Un botnet est un réseau d’appareils infectés contrôlés à distance par des cybercriminels, souvent utilisé pour lancer des attaques à grande échelle ou voler des données sensibles.
  • CVE (Common Vulnerabilities and Exposures) : Un CVE est un identifiant public unique pour une vulnérabilité de sécurité spécifique, permettant un suivi et une discussion cohérents dans l’industrie de la cybersécurité.
  • Injection de commandes : L’injection de commandes est une vulnérabilité où les attaquants trompent les systèmes pour exécuter des commandes non autorisées en insérant des entrées malveillantes dans des champs ou interfaces utilisateur.
  • Mécanisme de persistance : Un mécanisme de persistance est une méthode utilisée par les malwares pour rester actifs sur un système, survivant aux redémarrages et aux tentatives de suppression par les utilisateurs ou les outils de sécurité.
  • DDoS (Déni de service distribué) : Une attaque DDoS submerge un service en ligne avec du trafic provenant de nombreuses sources, le rendant lent ou indisponible pour les utilisateurs légitimes.
Botnet IoT security DDoS attacks
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news