Une étude récente révèle une campagne d’ampleur mondiale baptisée Detour Dog. Ce malware exploite le système DNS — pierre angulaire du web — pour dissimuler des redirections et déployer le voleur de données Strela Stealer à grande échelle. Plus de 30 000 sites seraient infectés. Analyse.
C’est une attaque qui brouille les pistes comme jamais. Selon une étude publiée par Infoblox Threat Intelligence, un groupe malveillant surnommé Detour Dog a perfectionné une méthode redoutable pour propager des logiciels espions tout en échappant à la détection.
L’idée est simple sur le papier, mais diaboliquement efficace : détourner le DNS, le système qui traduit les noms de domaines en adresses IP, pour piloter des sites web compromis. En apparence, la page visitée reste normale. En coulisse, elle interroge discrètement un serveur contrôlé par l’attaquant via une requête DNS spéciale de type TXT — un champ rarement utilisé par les utilisateurs, mais parfaitement adapté pour recevoir des instructions cachées.
Ces serveurs DNS renvoient alors des commandes du type « donothing » pour 90 % des requêtes, ne déclenchant rien. Mais pour une minorité de visiteurs ciblés, ils envoient la véritable charge : une redirection vers un site infectieux ou une instruction download & execute destinée à installer Strela Stealer, un malware capable de siphonner identifiants, cookies et données de session.
Une campagne aussi invisible qu’efficace
Infoblox estime que plus de 30 000 sites web dans le monde ont été compromis. Ces sites ne distribuent pas directement le code malveillant : ils servent d’intermédiaires, en relayant des requêtes DNS vers des domaines opérés par Detour Dog. Cette technique rend les attaques quasi indétectables, car le code ne s’exécute pas sur l’appareil de la victime, mais côté serveur.
Le mode opératoire du groupe a également évolué. D’abord utilisé pour des campagnes publicitaires frauduleuses, Detour Dog est devenu un fournisseur de services malveillants. Son infrastructure distribue désormais StarFish, une porte dérobée qui installe Strela Stealer pour le compte du groupe Hive0145, connu pour ses opérations de vol de données à grande échelle.
Entre juin et juillet 2025, l’équipe d’Infoblox a observé des vagues d’infections propagées par des botnets basés sur MikroTik (REM Proxy) et Tofsee, illustrant la collaboration entre Detour Dog et d’autres réseaux de spam et de diffusion malveillante.
Un cheval de Troie du trafic DNS
L’approche de Detour Dog change la donne en cybersécurité. En exploitant une couche invisible pour la plupart des solutions antivirus — le DNS —, l’acteur malveillant transforme le trafic web légitime en canal de commande et de contrôle (C2). Cette architecture rend les attaques extrêmement persistantes : certaines infections restent actives plus d’un an sans jamais éveiller de soupçon.
Infoblox recommande de renforcer la surveillance des flux DNS, désormais considérée comme la première ligne de défense contre ces campagnes furtives. Car si les terminaux ne voient rien, les serveurs de noms, eux, peuvent tout enregistrer.
