Source: GreyNoise — Le fournisseur de threat intelligence rapporte l’identification d’une opération botnet à grande échelle et centralisée, débutée le 8 octobre 2025, ciblant l’infrastructure RDP aux États‑Unis.

🚨 L’opération utilise deux méthodes principales d’attaque: Microsoft RD Web Access Anonymous Authentication Timing Attack Scanner et Microsoft RDP Web Client Login Enumeration Check. Les schémas d’activité indiquent une campagne coordonnée visant à sonder et énumérer les accès RDP exposés aux États‑Unis.

🔎 L’analyse technique montre que la quasi-totalité du trafic partage une empreinte TCP similaire, avec une variation limitée du MSS (Maximum Segment Size) selon les grappes compromises, ce qui suggère un contrôle centralisé du botnet. Le déclencheur de la découverte a été un pic inhabituel d’activité dans l’espace IP brésilien, menant à une analyse élargie.

🌐 La campagne implique plus de 100 000 adresses IP originaires de 100+ pays (dont Brésil, Argentine, Iran, Chine, Mexique, Russie, Afrique du Sud, Équateur), mais converge vers des cibles RDP situées aux États‑Unis.

IOC et TTP observés:

  • IOCs:
    • Volume: >100 000 adresses IP uniques impliquées (100+ pays)
    • Période: début de campagne le 8 octobre 2025
    • Cibles: services Microsoft RDP aux États‑Unis (dont RD Web Access et RDP Web Client)
  • TTPs:
    • Attaques de timing sur RD Web Access
    • Énumération de connexions via RDP Web Client
    • Trafic avec empreinte TCP homogène (MSS variable)
    • Campagne distribuée multi‑pays avec contrôle centralisé

Type d’article: analyse de menace visant à documenter l’ampleur, les techniques et la focalisation géographique d’une campagne botnet contre l’infrastructure RDP américaine.

🧠 TTPs et IOCs détectés

TTPs

Attaques de timing sur RD Web Access, Énumération de connexions via RDP Web Client, Trafic avec empreinte TCP homogène (MSS variable), Campagne distribuée multi-pays avec contrôle centralisé

IOCs

Volume: >100 000 adresses IP uniques impliquées (100+ pays), Période: début de campagne le 8 octobre 2025, Cibles: services Microsoft RDP aux États-Unis (dont RD Web Access et RDP Web Client)

🔗 Source originale : https://www.greynoise.io/blog/botnet-launches-coordinated-rdp-attack-wave

🖴 Archive : https://web.archive.org/web/20251013201029/https://www.greynoise.io/blog/botnet-launches-coordinated-rdp-attack-wave