Selon NETSCOUT ASERT, entre février et septembre 2025, le groupe Keymous+ a mené une vaste campagne DDoS multivecteurs contre 21 secteurs dans 15 pays, avec un pic notable lors d’une opération conjointe avec DDoS54 en avril.

— Contexte et portée —

  • Période: février à septembre 2025
  • Volume: 249 attaques
  • Ciblage: 21 secteurs (télécoms, finance, gouvernement, manufacturing, etc.) dans 15 pays
  • Positionnement: ciblage opportuniste avec timing stratégique autour d’événements géopolitiques et de pics de demande sectoriels

— Techniques et vecteurs —

  • Type d’attaque: DDoS multivecteurs combinant réflexion/amplification et flooding direct (UDP/TCP)
  • Protocoles d’amplification: chargen, CLDAP, DNS, memcached, NTP, NetBIOS, rpcbind, SNMP, L2TP, WS-DD
  • Flooding direct: UDP (dont UDP/443) et TCP
  • Flexibilité opérationnelle: variation des durées, débits, taux de paquets et combinaisons de vecteurs pour s’adapter aux défenses

— Infrastructure et capacités —

  • Sources: nœuds de sortie Tor, instances cloud publiques, IoT compromis, VPN commerciaux
  • IP usurpées: dizaines à centaines de milliers d’adresses
  • Opération conjointe (13–14 avril) avec DDoS54: pic à 44 Gbps et 4,23 Mpps, paquets d’environ 1 312 octets, combinant CLDAP/DNS amplification et UDP/443 flooding sur 11 minutes

— Défense et visibilité —

  • Recommandation d’une défense en couches: télémétrie de flux (Arbor Sightline), protection inline (Arbor Edge Defense), scrubbing haute capacité (Arbor TMS), renseignement temps réel (Arbor ATLAS AIF)

— IOCs et TTPs —

  • IOCs: aucun indicateur spécifique détaillé dans l’extrait (pas d’IPs, domaines ou hachages fournis)
  • TTPs:
    • T1055 (usurpation d’IP/spoofing – contexte DDoS)
    • T1498 (Network Denial of Service – réflexion/amplification via CLDAP/DNS/etc.)
    • T1498.001 (Direct Network Flood – UDP/TCP flooding)
    • Utilisation d’infrastructures anonymisées/mixées: Tor, VPN, cloud, botnet IoT

Type d’article: profil d’acteur/Analyse de menace, visant à documenter les modes opératoires, la portée des attaques et les approches de mitigation.

🧠 TTPs et IOCs détectés

TTPs

T1055, T1498, T1498.001

IOCs

aucun indicateur spécifique détaillé dans l’extrait (pas d’IPs, domaines ou hachages fournis)

🔗 Source originale : https://www.netscout.com/blog/asert/keymous-threat-actor-profile

🖴 Archive : https://web.archive.org/web/20251002073317/https://www.netscout.com/blog/asert/keymous-threat-actor-profile