Mirai-Based xlabs_v1 Botnet Exploits ADB to Hijack IoT Devices for DDoS Attacks

1 minute de lecture

Mis à jour : May 07, 2026

Menace Botnet xlabs_v1 : Exploitation d’ADB pour le DDoS

Le botnet xlabs_v1, dérivé du code source de Mirai, cible activement les appareils IoT et Android exposant le service Android Debug Bridge (ADB) sur le port TCP 5555. Ce réseau de machines infectées est utilisé comme service de “DDoS-à-la-demande”, visant principalement les serveurs de jeux vidéo.

Points clés

Fonctionnement : Le malware analyse les périphériques (Android TV, boîtiers connectés, routeurs) pour une exploitation via ADB sans authentification.
Architecture multi-plateforme : Compatible avec ARM, MIPS, x86-64 et ARC, permettant d’infecter une large gamme de matériel résidentiel et IoT.
Modèle économique : Le botnet évalue la bande passante des victimes pour les classer par “niveaux de prix” destinés aux clients louant le service DDoS.
Absence de persistance : Le bot ne s’installe pas durablement sur le disque ; il réinfecte régulièrement les appareils pour mettre à jour ses données de performance, cycle de vie piloté par le serveur de commande.
Compétition : Le malware intègre un sous-système “killer” pour éliminer les botnets concurrents présents sur la machine infectée afin de s’approprier toute la bande passante disponible.

Vulnérabilités

Vecteur principal : Exposition du port TCP 5555 (ADB) sur Internet sans restriction d’accès ni authentification.
CVE : Aucune CVE spécifique n’est mentionnée, car l’exploitation repose sur une configuration logicielle par défaut non sécurisée et une exposition directe au réseau.

Recommandations

Sécurisation ADB : Désactivez systématiquement le service ADB sur les appareils IoT et Android s’il n’est pas nécessaire, ou limitez l’accès via une liste blanche d’adresses IP.
Pare-feu : Bloquez l’accès au port TCP 5555 au niveau du routeur ou du pare-feu périmétrique pour éviter toute exposition externe.
Gestion des appareils : Appliquez les mises à jour du firmware dès qu’elles sont disponibles pour corriger les vulnérabilités sous-jacentes.
Surveillance réseau : Surveillez les flux sortants inhabituels, notamment vers des serveurs inconnus, pour détecter une activité de botnet en temps réel.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Mirai-Based xlabs_v1 Botnet Exploits ADB to Hijack IoT Devices for DDoS Attacks

Menace Botnet xlabs_v1 : Exploitation d’ADB pour le DDoS

Points clés

Vulnérabilités

Recommandations

Partager sur

Vous pourriez aimer

Webinar: Why modern attacks require both security and recovery

Vers une cyber-résilience intégrée pour les MSP

vm2 Node.js Library Vulnerabilities Enable Sandbox Escape and Arbitrary Code Execution

Vulnérabilités critiques de la bibliothèque Node.js vm2 : Évasions de bac à sable

Tp-Link Archer AX53 v1.0 Openvpn configuration restore script_security OS command injection vulnerability

Vulnérabilité d’injection de commandes sur les routeurs TP-Link Archer AX53

Tp-Link Archer AX53 v1.0 Openvpn configuration restore client_connect OS command injection vulnerability

Vulnérabilité d’injection de commandes dans le routeur TP-Link Archer AX53