MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Cato Networks, le leader du SASE annonce que son équipe Cato CTRL a découvert une nouvelle campagne mondiale de botnet IoT, baptisée Ballista.
Ce botnet cible spécifiquement des milliers de routeurs TP-Link Archer AX21 via une vulnérabilité critique de type remote code execution (CVE-2023-1389). Cette campagne, encore non signalée publiquement jusqu’ici, met en lumière la persistance des failles de sécurité dans les routeurs, souvent dues à l’absence de mises à jour régulières du firmware et au manque de rigueur sécuritaire chez certains constructeurs.
Les cibles identifiées incluent des organisations dans les secteurs de la santé, de l’industrie, des services et de la technologie aux États-Unis, en Australie, en Chine et au Mexique. À ce jour, plus de 6 000 routeurs vulnérables ont été recensés comme étant connectés à Internet.
Repérée pour la première fois le 10 janvier 2025, la campagne exploite un script malveillant pour déployer un malware évolutif, désormais capable d’utiliser le réseau Tor pour dissimuler ses communications. Une fois exécuté, le malware établit un canal de commande et contrôle chiffré via TLS sur le port 82, permettant à l’attaquant de prendre le contrôle total de l’appareil compromis, d’exécuter des commandes à distance et de lancer des attaques de type DoS (Denial of Service).
Selon les chercheurs de Cato CTRL, les indices laissent penser, avec un degré de confiance modéré, à un acteur malveillant basé en Italie. Le nom Ballista fait référence à l’arme romaine antique, en lien avec les indices italiens retrouvés dans le code du malware et l’adresse IP du serveur C2.
La plateforme Cato SASE Cloud protège les entreprises contre les botnets style Ballista et d’autres menaces similaires grâce à une approche de sécurité multicouche.
