🌐 Contexte
Le 21 mars 2026, Security Affairs rapporte qu’une opération internationale coordonnée par le Département de Justice américain (DoJ) a ciblé l’infrastructure de commandement et contrôle (C2) de plusieurs botnets IoT majeurs : AISURU, Kimwolf, JackSkid et Mossad. L’opération a impliqué des autorités du Canada et de l’Allemagne, ainsi que des entreprises technologiques privées.
🎯 Botnets ciblés et ampleur
Les quatre botnets ont infecté plus de 3 millions d’appareils dans le monde, principalement des équipements IoT (caméras, routeurs). Ils opéraient selon un modèle cybercrime-as-a-service, louant l’accès aux appareils compromis pour lancer des attaques DDoS massives :
- AISURU : plus de 200 000 commandes d’attaque émises
- JackSkid : 90 000 commandes
- KimWolf : 25 000 commandes
- Mossad : plus de 1 000 commandes
⚡ Attaques record
Le botnet AISURU/Kimwolf est lié à une attaque DDoS record atteignant 31,4 Tbps en novembre 2025, d’une durée de 35 secondes. Des attaques dépassant 1,5 Tb/sec ont perturbé des fournisseurs d’accès à large bande. Des inondations à 4 Gpps+ ont provoqué des défaillances de cartes de ligne sur des routeurs.
🤖 Caractéristiques techniques
AISURU (famille TurboMirai) :
- Attaques UDP, TCP et GRE floods avec paquets de taille moyenne et ports/flags aléatoires
- Fonctions multi-usages : credential stuffing, web scraping IA, spam, phishing
- Évite les cibles gouvernementales et militaires
Kimwolf (botnet Android) :
- Cible principalement les TV boxes Android, compilé via NDK
- Fonctions : DDoS, proxy forwarding, reverse shell, gestion de fichiers
- Chiffrement Stack XOR, DNS over TLS pour masquer les communications
- Authentification C2 par signatures à courbe elliptique
- Versions récentes intègrent EtherHiding (domaines blockchain) pour résister aux démantèlements
- 1,8 million d’appareils infectés, 1,7 milliard de commandes DDoS émises
- ~2,7 millions d’IPs observées sur 3 jours via un seul domaine C2
- Versions v4 et v5 tracées, nommées selon le pattern “niggabox + v[numéro]”
🏛️ Actions judiciaires
Les autorités américaines ont saisi des domaines, serveurs et infrastructures utilisés dans les activités cybercriminelles, y compris des attaques ciblant des systèmes du Département de la Défense. Des individus ont été ciblés au Canada et en Allemagne simultanément.
📊 Contexte Q4 2025
En Q4 2025, les principales cibles DDoS étaient les secteurs Télécommunications, Gaming et IA générative. Les pays les plus ciblés : Chine, États-Unis, Allemagne, Brésil, avec une forte hausse au Royaume-Uni. La majorité du trafic d’attaque provenait d’IPs liées à DigitalOcean, Microsoft, Tencent, Oracle et Hetzner.
📰 Nature de l’article
Article de type opération de police relatant une action judiciaire internationale coordonnée visant à démanteler des infrastructures de botnets IoT à grande échelle.
🧠 TTPs et IOCs détectés
TTP
- T1498 — Network Denial of Service (Impact)
- T1498.001 — Direct Network Flood (Impact)
- T1110.004 — Credential Stuffing (Credential Access)
- T1071.004 — DNS over TLS (Application Layer Protocol) (Command and Control)
- T1568 — Dynamic Resolution (Command and Control)
- T1496 — Resource Hijacking (Impact)
- T1583.001 — Acquire Infrastructure: Domains (Resource Development)
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
Malware / Outils
- AISURU (botnet)
- Kimwolf (botnet)
- JackSkid (botnet)
- Mossad (botnet)
- TurboMirai (botnet)
🔗 Source originale : https://securityaffairs.com/189710/cyber-crime/global-law-enforcement-operation-targets-aisuru-kimwolf-jackskid-botnet-operators.html