Selon Spamhaus (Botnet Threat Update Jan–Jun 2025), l’activité des serveurs de commande et contrôle (C2) de botnets remonte de 26% au premier semestre 2025, après 18 mois de baisse. Le rapport couvre les volumes, la géolocalisation, les familles de malwares associées, les TLD et registrars les plus abusés, ainsi que les réseaux les plus touchés.

📈 Volumétrie et tendances globales

  • 17 258 C2 identifiés entre janvier et juin 2025 (moyenne mensuelle: 2 876, vs 2 287 au semestre précédent).
  • Cinq nouvelles familles dans le Top 20: XWorm, ValleyRAT, Chaos (ransomware builder), Joker (Android), DeimosC2 (framework de pentest).
  • Frameworks de pentest en tête (43% des malwares du Top 20), portés par Cobalt Strike (30% à lui seul), et fortes hausses de Sliver (+138%) et Havoc (+139%).
  • RATs en progression, représentant 39,8% des malwares liés aux C2.

🚔 Operation Endgame 2.0 (mai 2025)

  • Ciblage d’infrastructures liées à Bumblebee, Latrodectus, Qakbot, DanaBot et WarmCookie (malwares d’initial access).
  • Bilan: 300 serveurs démantelés, 650 domaines neutralisés, 3,5 M€ saisis en crypto, 20 mandats d’arrêt internationaux.
  • Effet notable: Latrodectus et DanaBot sortent du Top 20 des familles de malwares associées aux C2. Les auteurs anticipent la sortie prochaine de Bumblebee et WarmCookie.
  • Contribution de Spamhaus à la remédiation: notifications aux fournisseurs pour sécurisation des comptes compromis (notamment réinitialisation de mots de passe).

🌐 Géolocalisation des C2

  • Chine #1: 3 533 (0%); États-Unis #2: 3 512 (+54%), écart de 21 serveurs seulement.
  • Fortes hausses: Allemagne (+99%), Singapour (+86%), Pays-Bas (+80%). Baisses: Bulgarie (-40%), Mexique (-25%), Maroc (-20%).
  • Nouvelles entrées: République dominicaine (#13), Seychelles (#17), Brésil (#19), Turquie (#20). Départs: Argentine, Colombie, Corée (Rép.), Espagne.
  • Finlande en yo-yo, à #15 ce semestre (-14%).

🧰 Malwares en vue et précisions

  • Top familles (extraits): Cobalt Strike (4 107), AsyncRAT (1 756, +142%), Remcos (1 533, +22%), Sliver (1 177, +138%), Havoc (458, +139%).
  • Nouvelles entrées:
    • XWorm (RAT modulaire, vol d’infos, contrôle à distance)
    • ValleyRAT (RAT diffusé via phishing/téléchargements malveillants)
    • Chaos (builder ransomware)
    • Joker (Android, vol d’identifiants, SMS, WAP)
    • DeimosC2 (framework de pentest)
  • Focus familles évincées:
    • Latrodectus (loader via pièces jointes de phishing; exécution de commandes, exfiltration, déploiement additionnel, persistance via tâches planifiées et C2 chiffré)
    • DanaBot (trojan bancaire modulaire via phishing; vol d’identifiants bancaires et données navigateur/perso)
  • FluBot: les 741 détections reflètent l’usage persistant de son infra FastFlux, désormais recyclée par d’autres familles (ex. Teambot).

🏷️ TLD, registrars et réseaux

  • TLD les plus abusés: .com (2 286, +30%), .top (838, -45%), .digital (534, nouvelle entrée, promos à ~1,94 $), puis .xyz (362, +9%), .net (175, -24%). Belles baisses: .online (-66%), .click (-67%), .site (-68%). Différentiels de risque soulignés: .com ~0,00147% vs .digital ~0,34022% de domaines liés aux C2.
  • Registrars les plus abusés: PDR (#1, 1 354, +268%), Namecheap (744, -51%), Nicenic (614, -62%), Gname (434, +165%), Sav (349, +297%). Part par pays: États-Unis 32,1% (en baisse), Inde 25,3% (en forte hausse), Chine 15,2%, Singapour 14,3%.
  • Réseaux – C2 nouvellement observés: alibaba-inc.com (1 291), tencent.com (774), digitalocean.com (539), amazon.com (502), cloudinnovation.org (441); nouvelles entrées notables: cheapy.host (#8, 297), railnet (#17), claro.com.do (#19), ctgserver.com (#20).
  • Réseaux – C2 actifs: alibaba-inc.com (277), tencent.com (213), digitalocean.com (135, +366%), colocrossing.com (76, +230%), amazon.com (74, +222%). Le rapport appelle ces opérateurs à traiter rapidement les abus et à coopérer avec Spamhaus.

IOC

  • Aucun IOC (IP, domaines, hachages) individuel divulgué dans l’extrait; uniquement des métriques agrégées, familles de malwares, TLD/registrars/réseaux et pays.

TTPs

  • Phishing (pièces jointes malveillantes) pour la livraison de loaders/trojans.
  • Initial access malware servant à préparer des déploiements (dont ransomware).
  • Persistance via tâches planifiées et communications C2 chiffrées (Latrodectus).
  • Vol d’identifiants et de données (banque, navigateur, SMS/WAP pour Joker).
  • FastFlux pour l’hébergement résilient des C2 (héritage FluBot, réutilisé par d’autres).
  • Abus de frameworks de pentest (Cobalt Strike, Sliver, Havoc, DeimosC2) pour le C2 et le post-exploitation.
  • Abus d’infrastructures cloud/hosting et promotions TLD à bas coût facilitant l’enregistrement de domaines malveillants.

Ce document est une analyse de menace rétrospective et statistique visant à dresser l’état des lieux des C2 de botnets au S1 2025 et à mesurer l’impact d’actions de démantèlement.

🧠 TTPs et IOCs détectés

TTP

[‘Phishing (pièces jointes malveillantes) pour la livraison de loaders/trojans’, ‘Initial access malware servant à préparer des déploiements (dont ransomware)’, ‘Persistance via tâches planifiées’, ‘Communications C2 chiffrées’, ‘Vol d’identifiants et de données (banque, navigateur, SMS/WAP pour Joker)’, ‘FastFlux pour l’hébergement résilient des C2’, ‘Abus de frameworks de pentest (Cobalt Strike, Sliver, Havoc, DeimosC2) pour le C2 et le post-exploitation’, ‘Abus d’infrastructures cloud/hosting’, ‘Promotions TLD à bas coût facilitant l’enregistrement de domaines malveillants’]

IOC

Aucun IOC (IP, domaines, hachages) individuel divulgué dans l’extrait; uniquement des métriques agrégées, familles de malwares, TLD/registrars/réseaux et pays.

🔗 Source originale : https://content.spamhaus.org/22f3805e-27c4-4bd9-a06e-37df8dab3d8c.pdf