Condibot et monaco, les jumeaux malware qui dévorent vos serveurs sans faire de bruit
Le 6 mars, deux inconnus ont pointé le bout de leur nez dans le moteur de l’Internet : CondiBot et Monaco. Deux noms anodins, deux programmes conçus pour vider les poches et les processeurs. Eclypsium les a débusqués en scrutant les artefacts laissés sur des appliances Linux et des routeurs Fortinet. Verdict : on n’est plus face à des APT sponsorisés par un État, mais à des cyberpirates qui paient leur loyer en cryptomonnaie.
Condibot, le fils caché de mirai qui refuse de redémarrer
CondiBot est un binaire en C qui se grimpe dans vos machines comme un sanglier dans un potager. Une fois installé, il désactive le reboot, s’accroche au service systemd et bombarde la cible de requêtes jusqu’à asphyxie. Le code repompe les routines de Mirai, mais ajoute une touche perso : un agent générique qui teste des URL de téléchargement en rafale, histoire de ne rater aucun appareil mal patché. Résultat : une botnet prête à servir de tube digestif à n’importe quel DDoS à la demande.
Lo que nadie cuenta : le contrôle-commande n’est pas hébergé dans un bunker ex-soviétique, mais sur une IP publique qui change toutes les six heures, rendant le take-down aussi ludique que le whack-a-mole.
Monaco, le scanneur go qui nettoie la concurrence
De son côté, Monaco écrit en Go fouille le port 22 comme un pickpocket dans le métro. Il lance des dictionnaires à la pelle – root/123456, ubuntu/ubuntu – jusqu’à ce qu’un serveur SSH craque. Puis il installe un mineur XMRig, supprime les processus rivaux et verse la recette dans un wallet froid. L’adresse de commande ? Un VPS chez Alibaba Cloud à Singapour, 8.222.206.6, autant dire un frigo dans une cuisine chinoise où personne ne va jamais ouvrir la porte.
La cifra habla por sí sola : 48 h après l’infection, le CPU de la victime gratte à 95 %, la facture électrique explose et le ransomware n’a même pas besoin de demander rançon.
Des routeurs deviennent des tirelires
Pourquoi s’en prendre à des appliances réseau ? Parce qu’elles tournent sur des Linux allégés, rarement patchés et oublis des inventaires. Google Cloud’s Threat Horizons le répète : 54 % des compromissions initiales passent désormais par un switch, un NAS ou une caméra IP. Une fois à l’intérieur, l’attaquant glisse latéralement vers les serveurs de production, aussi facilement qu’un métro change de ligne.
Le prochain rendez-vous à risque : la Coupe du monde féminine et les élections européennes. Des botnets comme CondiBot sont déjà loués par le jour ou par le giga, au même tarif qu’un Airbnb mal tenu.
Si votre routeur met du temps à répondre, qu’il chauffe ou que la diode clignote même quand vous n’êtes pas chez vous, débranchez. Le malware dort peut-être déjà dans votre armoire, en train de faire tourner la roulette du hash pour un inconnu à l’autre bout du fil.