Une campagne de piratage inédite, exploitant une faille critique sur les routeurs TP-Link Archer AX21, a été détectée par l’équipe de sécurité de Cato Networks. Baptisé “Ballista”, ce botnet IoT touche des milliers d’organisations à travers le monde, mettant en lumière des pratiques de cybersécurité encore trop souvent négligées.
C’est une vulnérabilité critique (CVE-2023-1389) qui permet à un attaquant d’exécuter du code à distance sur les routeurs TP-Link Archer AX21, utilisée dans une campagne d’ampleur mondiale détectée par les chercheurs de l’équipe Cato CTRL. Ce botnet, nommé Ballista en référence à l’arme de siège romaine, vise plus de 6 000 équipements vulnérables identifiés à ce jour comme étant connectés à Internet.
L’attaque, toujours active, exploite un script malveillant pour installer un malware capable de se connecter au réseau Tor, rendant les communications entre les machines infectées et leur serveur de commande quasiment indétectables. Une fois le terminal compromis, le bot peut exécuter des instructions à distance, lancer des attaques par déni de service (DoS) et prendre le contrôle total de l’équipement.
Les cibles visées incluent des entreprises opérant dans des secteurs critiques comme la santé, l’industrie ou encore les technologies, situées aux États-Unis, en Australie, en Chine et au Mexique. L’exploitation repose notamment sur l’absence de mises à jour régulières du firmware, un point faible persistant dans la gestion de l’IoT d’entreprise.
Les analystes de Cato évoquent, avec un niveau de confiance modéré, la possible implication d’un acteur malveillant basé en Italie, des éléments du code et l’infrastructure de commande (C2) laissant apparaître plusieurs références italiennes.
Ce nouvel épisode illustre une fois encore la nécessité de renforcer la sécurisation des infrastructures réseau, notamment à travers des solutions de sécurité cloud-native et de type SASE, capables d’identifier et bloquer ce type de menace évolutive.
