

En mars 2026, les chercheurs de FortiGuard Labs ont mis au jour un nouveau variant du botnet Gafgyt, baptisé C0XMO. Sa cible : les routeurs DD-WRT non mis à jour, équipements souvent déployés dans des bureaux distants ou des configurations de télétravail, et fréquemment exclus des cycles de gestion de sécurité classiques. À la différence de nombreuses menaces IoT, C0XMO ne se contente pas d'infecter un appareil : il neutralise activement les malwares concurrents déjà présents sur la machine pour conserver le contrôle exclusif du dispositif compromis.
C0XMO est une variante du botnet Gafgyt, une famille de malwares Linux identifiée pour la première fois en 2014 et conçue pour recruter des appareils embarquant un système d'exploitation Linux allégé dans des réseaux de botnets orientés DDoS. Ce qui distingue C0XMO de ses prédécesseurs, c'est la précision de sa méthode d'infection et l'étendue de ses capacités offensives.
La propagation de C0XMO repose sur l'exploitation de CVE-2021-27137, une vulnérabilité de débordement de tampon dans l'implémentation UPnP des routeurs DD-WRT. Ce défaut résulte d'une validation insuffisante des entrées utilisateur dans le service miniupnpd. Un attaquant peut envoyer une requête UPnP spécialement construite pour déclencher le débordement, sans avoir besoin d'aucun identifiant préalable : la faille est exploitable sans authentification depuis le réseau local, et potentiellement depuis Internet si le service UPnP est exposé publiquement, ce qui est encore trop souvent le cas sur des déploiements oubliés.
DD-WRT est un firmware open source pour routeurs qui offre des fonctionnalités avancées bien au-delà de ce que proposent les firmwares constructeurs. Des milliers d'entreprises et de particuliers l'ont adopté pour ses capacités de VPN, de segmentation réseau et de contrôle du trafic. Mais cette popularité a un revers : les mises à jour sont manuelles, les appareils restent souvent sur des versions datant de plusieurs années, et CVE-2021-27137 a été corrigée dans les versions récentes du firmware sans que les appareils concernés aient reçu la mise à jour.
Selon les informations publiées par HowToFix.Guide, C0XMO ne vise pas une seule architecture matérielle. Les chercheurs ont identifié des charges utiles compilées pour ARM, MIPS, PowerPC, SuperH, x86 et x86_64, ce qui lui permet d'infecter aussi bien des routeurs récents que des appareils IoT et des DVR sous Linux intégrés dans des infrastructures non surveillées.
La capacité à cibler six familles d'architecture différentes n'est pas anodine. Elle reflète une décision délibérée des opérateurs : maximiser la surface d'infection potentielle en ne se limitant pas aux routeurs les plus courants. Un routeur de bureau distant sous ARM, un ancien DVR sous MIPS dans une installation industrielle, un serveur de petite entreprise sous x86 — tous peuvent devenir des nœuds du botnet C0XMO si leur service UPnP est actif et que le firmware n'a pas été mis à jour depuis 2021.
Cette diversité architecturale trahit également une infrastructure de développement sérieuse. Maintenir des chaînes de compilation croisée pour six architectures différentes demande du temps et des ressources, ce qui indique que C0XMO n'est pas le fait d'un acteur opportuniste mais d'un groupe organisé avec des moyens techniques réels. L'architecture modulaire décrite par Aviatrix permet d'ailleurs aux opérateurs de mettre à jour les techniques d'exploitation et d'ajouter ou supprimer des architectures ciblées indépendamment du payload principal, ce qui facilite l'évolution du botnet en réponse aux correctifs.
Une fois installé sur un appareil, C0XMO dispose de 19 méthodes d'attaque DDoS distinctes. Ce chiffre place ce botnet parmi les variants Gafgyt les plus complets jamais documentés. Ces méthodes couvrent plusieurs couches du modèle réseau : attaques volumétriques au niveau UDP et TCP, attaques par amplification, flood HTTP et techniques ciblant spécifiquement les serveurs de jeu — un secteur historiquement visé par les opérateurs de botnets DDoS-for-hire.
La diversité des méthodes d'attaque sert un objectif commercial évident : un botnet capable d'attaquer des cibles variées avec des techniques différentes peut proposer ses services à un plus large éventail de clients sur les marchés clandestins. Les équipes de sécurité qui évaluent leur surface d'attaque doivent tenir compte de ce type de menace indirecte : votre organisation peut être victime d'une attaque orchestrée depuis un botnet dont les nœuds sont des routeurs compromis appartenant à vos fournisseurs, partenaires ou employés en télétravail.
C0XMO intègre un scanner réseau modulaire capable d'identifier de nouvelles cibles potentielles depuis les appareils déjà infectés. Ce scanner installe des paquets Python supplémentaires pour étendre ses capacités, puis explore les plages d'adresses IP à la recherche de ports ouverts : SSH (22), Telnet (23) et HTTP/S (80/443) sont ciblés en priorité. Lorsqu'un port est trouvé ouvert, le scanner tente des accès par force brute ou par liste de credentials faibles, permettant au botnet de se propager de manière autonome sans intervention des opérateurs.
Ce comportement de propagation autonome est caractéristique des botnets IoT modernes. Il signifie qu'un seul routeur DD-WRT compromis dans un réseau peut devenir un point de départ pour l'infection d'autres appareils accessibles depuis ce segment réseau, y compris des équipements qui ne sont pas directement vulnérables à CVE-2021-27137.
L'un des comportements les plus remarquables de C0XMO est sa capacité à détecter et supprimer les malwares concurrents déjà présents sur l'appareil infecté. Cette tactique, documentée par BleepingComputer, n'est pas nouvelle dans l'écosystème des botnets IoT, mais elle est ici particulièrement agressive. C0XMO recherche des processus et des fichiers associés à d'autres variants de Gafgyt, à Mirai et à d'autres familles de malwares IoT, puis les supprime avant de s'installer.
Pour les équipes de sécurité, ce comportement est un signal d'alerte indirect : si un appareil était précédemment infecté par un autre malware et que cette infection disparaît soudainement sans intervention, il ne faut pas en conclure que l'appareil est sain. C0XMO a peut-être simplement pris le contrôle.
Les routeurs DD-WRT non mis à jour constituent la cible principale, mais le périmètre d'exposition est plus large qu'il n'y paraît. CVE-2021-27137 date de 2021 et a été corrigée dans les versions récentes du firmware DD-WRT. Mais les appareils qui tournent toujours sur un firmware antérieur restent pleinement vulnérables, et ils sont nombreux.
Dans un contexte d'entreprise, les routeurs DD-WRT sont souvent déployés pour des besoins spécifiques : mise en place de tunnels VPN entre sites, segmentation Wi-Fi dans des espaces de coworking, gestion du trafic dans des succursales sans équipe IT sur place. Ces déploiements présentent un risque particulier parce qu'ils sortent fréquemment du périmètre de gestion standard : pas de surveillance centralisée, pas de mise à jour automatique, parfois aucune visibilité depuis le SOC principal.
Le télétravail ajoute une dimension supplémentaire. Des employés qui utilisent DD-WRT chez eux pour améliorer leurs performances réseau peuvent sans le savoir constituer un maillon faible de la chaîne de sécurité de l'entreprise. Si leur routeur domestique est infecté par C0XMO, le tunnel VPN établi depuis cet appareil peut théoriquement servir de vecteur pour des déplacements latéraux vers le réseau de l'entreprise.
Au-delà des routeurs, C0XMO cible tout appareil Linux embarqué dont le service UPnP est actif ou qui présente un port d'administration ouvert avec des credentials faibles. Les DVR utilisés dans les systèmes de vidéosurveillance, les passerelles industrielles et les systèmes d'affichage numérique constituent des cibles de choix : ils sont souvent connectés en permanence, rarement surveillés, et encore plus rarement mis à jour.
Comprendre C0XMO nécessite de replacer ce variant dans l'histoire plus longue de la famille Gafgyt. Ce botnet IoT, également connu sous le nom BASHLITE, a été identifié pour la première fois en 2014. À l'époque, il exploitait principalement des credentials par défaut sur des appareils Busybox pour constituer des réseaux d'attaque DDoS. Plus d'une décennie après sa première apparition, la famille est toujours active et continue d'évoluer.
Contrairement à Mirai, qui a atteint une notoriété mondiale avec l'attaque DDoS massive de 2016 ayant paralysé une partie de l'internet américain, Gafgyt est resté plus discret mais tout aussi persistant. Sa différence fondamentale avec Mirai réside dans son vecteur d'infection : là où Mirai exploite essentiellement des mots de passe par défaut, Gafgyt cible aussi des vulnérabilités dans les protocoles réseau. Cela signifie que changer les mots de passe d'un appareil ne suffit pas à se protéger contre les variants les plus récents comme C0XMO.
La persistance des botnets IoT s'explique par une réalité structurelle : les appareils concernés sont conçus pour être installés et oubliés. Un routeur de bureau distant, une caméra IP dans un entrepôt, un DVR dans une boutique , ces équipements fonctionnent en continu pendant des années sans que personne ne vérifie leur firmware. Il n'y a pas de gestion centralisée, pas d'alertes automatiques en cas de comportement anormal, parfois même pas de console d'administration accessible à l'équipe IT.
Cette invisibilité est précisément ce qui rend ces appareils précieux pour les opérateurs de botnets. Un routeur infecté qui génère du trafic DDoS vers une cible externe ne perturbe généralement pas le fonctionnement normal du réseau domestique ou du bureau distant dont il fait partie. Il peut rester compromis pendant des mois, voire des années, sans être détecté. Surveiller les indicateurs de compromission sur les équipements réseau périphériques est une discipline que peu d'organisations pratiquent encore de manière systématique.
La réponse à C0XMO commence par un inventaire. Avant toute chose, il faut savoir combien d'appareils DD-WRT sont présents dans votre environnement, y compris les déploiements distants et les configurations de télétravail. Sans cet inventaire, aucune action corrective n'est possible.
La priorité absolue est de mettre à jour le firmware de tous les routeurs DD-WRT vers une version corrigeant CVE-2021-27137. Les mises à jour DD-WRT sont disponibles directement sur le site du projet. La procédure varie selon le modèle de routeur, mais implique généralement le téléchargement de l'image firmware correspondant à l'appareil et son installation via l'interface d'administration web. Si la mise à jour n'est pas possible parce que l'appareil est trop ancien pour être pris en charge par les versions récentes de DD-WRT, le remplacement de l'équipement est la seule option viable.
En l'absence de mise à jour immédiate, désactiver le service UPnP dans la configuration DD-WRT supprime le vecteur d'exploitation principal de C0XMO. UPnP est rarement nécessaire dans un contexte d'entreprise, et son désactivation ne compromet généralement pas les fonctionnalités essentielles du routeur. De même, désactiver l'accès d'administration à distance depuis Internet réduit considérablement la surface d'attaque exposée. Si l'accès distant est nécessaire, restreindre l'accès à des adresses IP spécifiques via les ACL du routeur constitue une mesure compensatoire raisonnable.
Les équipes cherchant à détecter une infection C0XMO doivent surveiller plusieurs signaux : des pics de trafic sortant inhabituels depuis des routeurs ou appareils IoT, des connexions vers des adresses IP inconnues sur des ports non standard, une consommation CPU anormalement élevée sur des appareils à ressources limitées, et la présence de processus inconnus tournant sur le système. Un trafic sortant vers des ports associés à des protocoles de commande et contrôle IRC est également un indicateur historiquement associé à la famille Gafgyt. La surveillance des journaux DNS pour détecter des résolutions vers des domaines générés algorithmiquement complétera l'analyse, dans le cadre d'une approche plus large de renseignement sur les menaces cyber.
Pas nécessairement. Si votre firmware DD-WRT a été mis à jour après la correction de CVE-2021-27137 (publiée en 2021), vous n'êtes plus exposé à ce vecteur spécifique. Si vous n'êtes pas certain de la version installée, connectez-vous à l'interface d'administration DD-WRT et vérifiez le numéro de build affiché. Comparez-le avec les notes de version disponibles sur le site DD-WRT pour confirmer que le correctif est inclus.
C0XMO analyse les processus en cours d'exécution sur l'appareil infecté et compare leurs noms et signatures à une liste interne de malwares connus. Lorsqu'il en détecte un, il envoie un signal de terminaison au processus concerné et supprime les fichiers associés sur le système de fichiers. Cette capacité est codée directement dans le binaire principal du malware et s'exécute automatiquement au démarrage de l'infection.
Oui. Si un appareil de votre réseau est compromis, il peut être utilisé comme nœud du botnet pour attaquer des cibles totalement extérieures à votre organisation. Cela peut entraîner la mise sur liste noire de vos adresses IP par des services de réputation, des problèmes de connectivité avec des partenaires ou fournisseurs, et potentiellement des questions légales si le trafic malveillant provient de votre infrastructure.
Gafgyt et Mirai sont deux familles distinctes de botnets IoT. Mirai s'est rendu célèbre par l'exploitation de credentials par défaut sur des appareils de marques grand public. Gafgyt, dont C0XMO est un variant, exploite davantage les vulnérabilités de protocoles réseau et dispose d'une architecture plus modulaire permettant des mises à jour indépendantes de ses composants. C0XMO se distingue par le nombre de ses méthodes DDoS (19) et sa capacité à éliminer les malwares concurrents.
Les signes les plus visibles sont une consommation CPU anormalement élevée sur l'appareil, des connexions sortantes inhabituelles vers des adresses IP inconnues, et un trafic réseau anormal depuis l'équipement. Des outils de surveillance réseau comme ntopng ou un pare-feu applicatif avec journalisation des flux peuvent aider à détecter ces comportements. Sur l'appareil lui-même, si vous disposez d'un accès SSH, l'exécution de la commande ps peut révéler des processus inconnus aux noms générés aléatoirement.
C0XMO ne doit pas être analysé comme une menace isolée. Il s'inscrit dans un écosystème commercial bien établi où des groupes criminels proposent des capacités d'attaque DDoS à la demande , parfois pour quelques centaines d'euros par semaine , à des clients qui vont du concurrent commercial mal intentionné à l'acteur étatique cherchant à perturber des infrastructures critiques. Un botnet capable de 19 méthodes d'attaque différentes sur une large gamme d'architectures matérielles est un produit hautement commercialisable sur ces marchés clandestins.
Les opérateurs de DDoS-as-a-Service (DDoSaaS) louent typiquement l'accès à leur infrastructure botnet à la durée : tant d'heures d'attaque vers une cible choisie par le client, à un débit garanti. Plus le botnet est grand et diversifié, plus l'opérateur peut facturer. C0XMO, en ciblant des architectures aussi variées que ARM, MIPS et x86, maximise sa capacité à accumuler des nœuds dans des géographies et des contextes réseau très différents, rendant les contre-mesures basées sur le blocage géographique ou le filtrage par type d'appareil moins efficaces.
Pour les organisations qui opèrent des services web publics, des API ou des infrastructures réseau exposées à Internet, cette réalité a une implication directe : le risque ne provient pas seulement d'une attaque ciblée contre elles spécifiquement, mais d'être sélectionnées comme cible par un client anonyme d'un service DDoSaaS qui a simplement payé pour une heure de trafic.
L'un des défis fondamentaux que pose C0XMO aux équipes de sécurité est la question de la visibilité. Dans la grande majorité des organisations, la surveillance de sécurité est concentrée sur les serveurs, les postes de travail et les équipements réseau principaux. Les routeurs de bureau distant, les passerelles VPN bas de gamme, les caméras IP et les DVR entrent rarement dans le périmètre de monitoring d'un SOC. Ils ne disposent pas d'agents EDR, leurs journaux ne remontent pas vers un SIEM, et leur comportement réseau n'est surveillé que de manière très grossière, si tant est qu'il le soit.
C'est précisément dans cet angle mort que C0XMO opère. Un routeur DD-WRT compromis dans un bureau de dix personnes génère du trafic DDoS sortant à intervalles réguliers, sur commande des opérateurs. Ce trafic peut représenter quelques mégabits par seconde, ce qui est imperceptible sur une connexion ADSL ou fibre standard , il ne provoque pas de ralentissement perceptible pour les utilisateurs du bureau, et ne déclenche aucune alerte sur un pare-feu qui ne surveille que les volumes agrégés.
La réponse à ce problème de visibilité passe par l'extension du périmètre de surveillance aux équipements réseau périphériques. Cela ne nécessite pas nécessairement des outils coûteux : la configuration de la journalisation syslog sur les routeurs DD-WRT pour envoyer les logs vers un collecteur centralisé, la mise en place d'alertes sur les volumes de trafic sortant anormaux par interface, et l'utilisation de solutions de monitoring réseau passif comme ntopng ou Zeek sur des segments stratégiques permettent d'étendre significativement la visibilité sans investissements massifs.
Une question que les équipes juridiques et de sécurité posent rarement , jusqu'à ce qu'il soit trop tard , est celle des responsabilités potentielles lorsqu'un appareil de leur réseau est utilisé pour attaquer des tiers. Si un routeur DD-WRT compromis dans les bureaux d'une entreprise participe à une attaque DDoS contre un hôpital ou une infrastructure critique, l'entreprise propriétaire de l'appareil peut-elle être tenue responsable ?
La réponse juridique varie selon les juridictions, mais dans la plupart des cadres réglementaires européens, la notion de négligence est clé. Une organisation qui n'a pas appliqué les correctifs disponibles pour une vulnérabilité connue depuis 2021 sur ses équipements réseau, et dont ces équipements ont servi à attaquer des tiers, s'expose potentiellement à des questions sur sa diligence raisonnable en matière de sécurité. Le RGPD n'est pas directement applicable ici, mais le cadre général d'obligation de sécurité qu'il impose aux organisations traitant des données personnelles s'étend logiquement à l'ensemble de leur infrastructure réseau.
Au-delà de l'aspect légal, le risque réputationnel est concret : si l'adresse IP de votre organisation apparaît dans des listes noires associées à des attaques DDoS, cela peut affecter la délivrabilité de vos emails, la confiance de vos partenaires et vos relations avec votre opérateur télécom. Certains FAI incluent dans leurs conditions générales la possibilité de suspendre un accès dont l'infrastructure est détectée comme participant à des attaques.
Pour les équipes de threat intelligence, C0XMO illustre la nécessité de surveiller non seulement les menaces qui ciblent directement votre organisation, mais aussi celles qui peuvent la transformer involontairement en acteur malveillant. Un programme de renseignement sur les menaces cyber mature intègre la surveillance de la réputation de vos propres adresses IP et plages réseau dans des bases de données de threat intelligence publiques et commerciales.
Des services comme AbuseIPDB, Spamhaus ou les fils d'indicateurs OTX permettent de vérifier si des adresses IP de votre organisation ont été signalées pour des comportements malveillants. Si une adresse apparaît dans ces bases après qu'un appareil a été compromis par C0XMO, l'action corrective doit combiner la désinfection de l'appareil, le signalement aux plateformes concernées pour demander la suppression des entrées erronées, et une communication proactive avec vos partenaires si des impacts sur les échanges commerciaux sont détectés.
Ce type de menace illustre un problème structurel : les informations critiques sur une campagne active circulent d'abord dans des canaux fermés, forums clandestins et groupes Telegram privés, avant d'atteindre les équipes de sécurité par les canaux habituels. Le temps perdu dans cet écart est souvent celui où l'exploitation est la plus active.
Defendis surveille ces sources en continu. Votre équipe reçoit des signaux d'alerte pertinents avant que l'incident ne devienne public, avec le contexte nécessaire pour agir : nature de la menace, infrastructure associée, secteurs ciblés. Sans que vos analystes aient à patrouiller eux-mêmes dans des espaces qu'ils ne devraient pas avoir à fréquenter.