Selon Black Lotus Labs (Lumen Technologies), l’opérateur a observé fin 2025 une croissance fulgurante du botnet Aisuru (jusqu’à >11 Tbps), puis l’apparition d’un nouveau botnet Kimwolf, alimenté par l’exploitation de services de proxy résidentiel. Lumen décrit ses actions de disruption (null-routing) ayant permis de neutraliser plus de 550 serveurs C2.

— Contexte et montée en puissance —

  • En septembre 2025, Aisuru passe d’environ 50 000 à 200 000 bots/jour, corrélé à des attaques records (>11 Tbps).
  • Un backend C2 d’Aisuru (65.108.5[.]46) agit comme entonnoir de trafic depuis les C2 confirmés. Des connexions SSH depuis des IP canadiennes vers 194.46.59[.]169 (proxy-sdk.14emeliaterracewestroxburyma02132[.]su) suggèrent une interface de contrôle. Le backend adopte ensuite le domaine client.14emeliaterracewestroxburyma02132[.]su.

— Bifurcation vers Kimwolf —

  • Début octobre 2025, apparition du domaine C2 greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su (104.171.170[.]21, hébergeur Resi Rack LLC). Un serveur (104.171.170[.]56) expose un binaire ELF (ports 1002/1010). Le même jour, le fichier servi bascule d’un artefact pointant vers Aisuru à un artefact pointant vers le nouveau domaine, marquant le démarrage de Kimwolf (corroboré ensuite par la communauté, ex. Xlab).
  • Début octobre, Kimwolf connaît une hausse de 300% des nouveaux bots en 7 jours, atteignant 800 000 bots mi-octobre. La quasi-totalité de cette vague provient d’appareils listés à la vente sur un service de proxy résidentiel. Un serveur Kimwolf (sdk-bright.14emeliaterracewestroxburyma02132[.]su) migre vers lol.peeplink[.]su, reçoit un fort trafic sur le port 443, puis cesse d’agir en C2 mais montre un trafic massif vers plusieurs services de proxy résidentiel (surtout PYPROXY) du 20 octobre au 6 novembre.

— Méthode d’expansion et infrastructure —

  • En retraçant la poussée de mi-septembre, Black Lotus Labs relie l’expansion à l’acquisition de dispositifs de proxy résidentiel via quelques services.
  • Les travaux de Synthient détaillent une exploitation locale de vulnérabilités dans ces services, expliquant le trafic vers les passerelles proxy. L’historique de Lumen confirme des IPs Kimwolf scannant ces services avant chaque pic de croissance.

— Disruption par Lumen —

  • À partir d’octobre, Black Lotus Labs null-route les C2 identifiés. Les acteurs réagissent (ex. déplacement du domaine greatfirewallisacensorshiptool vers 104.171.170[.]201). Un pic de trafic vers 176.65.149[.]19:25565 (serveur de malware sur un ASN également utilisé par Aisuru) indique la nécessité de redéployer des binaires sur les bots. Lumen neutralise rapidement les C2 restants.
  • Au total, >550 serveurs Aisuru/Kimwolf sont null-routés en 4 mois, avec des échanges houleux des acteurs relevés par Xlabs dans un payload DDoS. Lumen cite les collaborations avec la communauté et l’intégration des IOCs dans ses produits (ex. Lumen Defender).

IOCs (extraits) 🔎

  • IPs: 65.108.5[.]46; 194.46.59[.]169; 104.171.170[.]21; 104.171.170[.]56; 104.171.170[.]201; 176.65.149[.]19:25565
  • Domaines: client.14emeliaterracewestroxburyma02132[.]su; proxy-sdk.14emeliaterracewestroxburyma02132[.]su; greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su; sdk-bright.14emeliaterracewestroxburyma02132[.]su; lol.peeplink[.]su
  • Ports observés: 443, 1002, 1010, 25565

TTPs (extraits) 🛠️

  • Exploitation de vulnérabilités dans des services de proxy résidentiel; scan des passerelles proxy (ex. PYPROXY) en amont des pics d’infection.
  • Contrôle via backend C2 et SSH; rotation de domaines/IP chez Resi Rack LLC; distribution de binaires ELF; hébergement bulletproof; changement de ports; vente/listing massif d’appareils proxy résidentiels.

Type d’article: analyse de menace visant à documenter l’évolution d’Aisuru vers Kimwolf et les actions de perturbation menées par Lumen.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation de vulnérabilités dans des services de proxy résidentiel’, ‘Scan des passerelles proxy (ex. PYPROXY) en amont des pics d’infection’, ‘Contrôle via backend C2 et SSH’, ‘Rotation de domaines/IP chez Resi Rack LLC’, ‘Distribution de binaires ELF’, ‘Hébergement bulletproof’, ‘Changement de ports’, ‘Vente/listing massif d’appareils proxy résidentiels’]

IOC

{‘ips’: [‘65.108.5.46’, ‘194.46.59.169’, ‘104.171.170.21’, ‘104.171.170.56’, ‘104.171.170.201’, ‘176.65.149.19:25565’], ‘domains’: [‘client.14emeliaterracewestroxburyma02132.su’, ‘proxy-sdk.14emeliaterracewestroxburyma02132.su’, ‘greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132.su’, ‘sdk-bright.14emeliaterracewestroxburyma02132.su’, ’lol.peeplink.su’], ‘ports’: [‘443’, ‘1002’, ‘1010’, ‘25565’]}

🔗 Source originale : https://www.linkedin.com/pulse/keeping-kimwolf-bay-putting-leash-massive-ddos-botnet-t1pyc/