« AVrecon » est un malware ciblant principalement les routeurs et les équipements de type Internet of Things (IoT). Il est utilisé par des acteurs malveillants pour compromettre des équipements connectés à Internet et les intégrer dans des réseaux de « proxies résidentiels », permettant de dissimuler l’origine de leurs activités malveillantes.

Ce malware est généralement déployé après l’exploitation des vulnérabilités connues, notamment des failles de type exécution de code à distance (RCE) ou injection de commandes, sur des équipements insuffisamment mis à jour ou en fin de vie. Une fois installé, AVrecon permet aux attaquants de maintenir un accès distant au dispositif compromis et d’utiliser celui-ci comme relais pour leurs opérations.

Les équipements infectés sont ensuite exploités comme proxies résidentiels, ce qui permet aux cybercriminels de mener diverses activités illicites. Le malware peut également agir comme loader, en téléchargeant et exécutant des charges malveillantes supplémentaires sur les équipements compromis.

Lors de l’infection, AVrecon met en place des mécanismes de persistance variables selon le type d’équipement. Dans certains cas, le firmware de l’appareil est modifié afin d’assurer l’exécution du malware à chaque redémarrage, rendant la compromission difficile à détecter et à supprimer. Le malware communique ensuite régulièrement avec son infrastructure de commande et contrôle (C2), notamment via des échanges périodiques de type « PING/PONG » afin de recevoir de nouvelles instructions.

Systèmes affectés:

Les appareils suivants ont été identifiés comme étant les plus représentés parmi les dispositifs infectés par AVrecon :

• D-Link 

o DIR-818LW Wireless Router 

o DIR-850L Wireless Router 

o DIR-860L Wireless Router 

• Hikvision 

o DS-2CD2020F-I IP Camera 

o DS-2CD2420F-IW IP Camera 

• Netgear 

o DGN2200v4 Wireless Router 

o AC1900 R7000 

• TP-Link 

o Archer C20 Wireless Router 

o TL-WR840N Wireless Router 

o TL-WR849N Wireless Router 

o WR841N Wireless Router 

• Zyxel 

o EMG6726-B10A Router 

o PMG5617GA Home Gateway Unit (HGU)

o VMG1312-B10D Wireless Router 

o VMG1312-T20B Wireless Router 

o VMG3925-B10A Wireless Router 

o VMG3925-B10C Wireless Router 

o VMG4825-B10A Wireless Router 

o VMG4927-B50A Wireless Router 

o VMG8825-T50K Wireless Route

Recommandations

Le maCERT recommande :

• d’intégrer les indicateurs de compromission (IOCs) ci-dessous au niveau des moyens de détection ;

• d’appliquer sans délai les mises à jour de sécurité sur tous les équipements réseau exposés à Internet ;

• de remplacer les équipements en fin de vie;

• de désactiver l’administration distante lorsque celle-ci n’est pas nécessaire ;

• de surveiller les communications sortantes des routeurs et équipements IoT vers des infrastructures inconnues ;

• de segmenter les équipements IoT du reste du réseau interne afin de limiter les mouvements latéraux en cas de compromission.