🌐 Contexte
Publié le 30 mars 2026 par Pulsedive Threat Research, cet article constitue un primer technique sur l’écosystème des botnets modernes basés sur Mirai, avec un focus sur les familles Aisuru, KimWolf et Satori, ainsi que sur les actions de démantèlement menées par le DOJ américain le 19 mars 2026.
📈 Tendances générales
Spamhaus a enregistré une hausse de 24 % des serveurs C2 de botnets sur la période juillet-décembre 2025 par rapport au semestre précédent, et de 26 % sur janvier-juin 2025. Les États-Unis ont dépassé la Chine comme pays hébergeant le plus de serveurs C2, une position que la Chine détenait depuis le troisième trimestre 2023.
🦠 Mirai et ses variants
Mirai, identifié pour la première fois en 2016, cible les appareils IoT tournant sur processeurs ARC sous Linux allégé. La compromission initiale s’effectue via exploitation de vulnérabilités ou utilisation des identifiants par défaut. La publication du code source a engendré plus de 116 branches distinctes identifiées à partir de plus de 21 000 échantillons (BotConf 2023).
🔴 Satori
Satori, variante Mirai identifiée fin 2017, a infecté plus de 260 000 routeurs SOHO. Il exploite notamment une injection de commandes OS sur les équipements D-Link DSL-2750B pour télécharger et exécuter des charges utiles ciblant plusieurs architectures CPU depuis le répertoire /tmp/.
🔴 Aisuru-KimWolf
- Aisuru-KimWolf a compromis entre 1 et 4 millions d’hôtes mondialement et est responsable des plus grandes attaques DDoS enregistrées : 31,4 Tbps et 14,1 milliards de paquets par seconde.
- KimWolf est un sous-variant ciblant spécifiquement les appareils Android (Smart TVs, mobiles), avec environ 2 millions d’appareils compromis.
- Les opérateurs monétisent l’accès aux botnets via Discord et Telegram.
- Le botnet a abusé du réseau de proxies résidentiels IPIDEA pour masquer son activité. Suite aux actions de démantèlement, KimWolf a migré vers The Invisible Project (I2P).
- Aisuru encode les IPs C2 dans des enregistrements DNS TXT.
⚖️ Opération de démantèlement (19 mars 2026)
Le Département de Justice américain a annoncé des actions contre les botnets Aisuru, KimWolf, JackSkid et Mossad. Les opérations ont eu lieu au Canada et en Allemagne. Les autorités ont tenté de saisir des DigitalOcean Droplets utilisés comme serveurs C2 pour KimWolf (District of Alaska, dossier 2015R00240/SW, District of New Jersey).
🔍 Indicateurs de compromission (Aisuru-KimWolf)
Les IOCs listés incluent des domaines C2 obfusqués, disponibles sur la plateforme Pulsedive via la requête threat=Aisuru-KimWolf, exportables en CSV, STIX 2.1 et JSON.
📄 Nature de l’article
Il s’agit d’une analyse de menace à visée pédagogique et opérationnelle, destinée aux analystes CTI souhaitant comprendre l’écosystème Mirai et disposer d’IOCs exploitables sur les botnets Aisuru-KimWolf.
🧠 TTPs et IOCs détectés
TTP
- T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1078.001 — Valid Accounts: Default Accounts (Initial Access)
- T1059 — Command and Scripting Interpreter (Execution)
- T1498 — Network Denial of Service (Impact)
- T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
- T1071.004 — Application Layer Protocol: DNS (Command and Control)
- T1105 — Ingress Tool Transfer (Command and Control)
- T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
IOC
- Domaines :
14emeliaterracewestroxburyma02132.su - Domaines :
713mtauburnctcolumbusoh43085.st - Domaines :
hahaezretard3.713mtauburnctcolumbusoh43085.st - Domaines :
r.lolbrogg123424.com - Domaines :
fuckzachebt.meowmeowmeowmeowmeow.meow.indiahackgod.su - Domaines :
lol.713mtauburnctcolumbusoh43085.st - Domaines :
lolbroweborrowtvbro.713mtauburnctcolumbusoh43085.st - Domaines :
nnkjzfaxkjanxzk.14emeliaterracewestroxburyma02132.su - Domaines :
rtrdedge1.samsungcdn.cloud - Domaines :
sdk-dl-prod.proxiessdk.online - Domaines :
staging.pproxy1.fun - Domaines :
zachebt.chachasli.de - Chemins :
/tmp/
Malware / Outils
- Mirai (botnet)
- Satori (botnet)
- Aisuru (botnet)
- KimWolf (botnet)
- JackSkid (botnet)
- Mossad (botnet)
🔗 Source originale : https://blog.pulsedive.com/the-operations-of-the-swarm-inside-the-complex-world-of-mirai-based-botnets/