🔍 Contexte

Publié le 28 mars 2026 par la Nokia Deepfield Emergency Response Team (ERT), ce rapport documente Drifter, un botnet DDoS jusqu’alors inconnu. Il s’inscrit dans une série de recherches sur l’écosystème de botnets exploitant la surface d’attaque ADB (Android Debug Bridge) sur des appareils Android TV non certifiés.

🎯 Vecteur d’infection et cibles

Drifter cible les appareils Android TV AOSP bon marché exposant ADB sans authentification, la même population de dispositifs que MossadProxy v2.5.2, Jackskid et Kimwolf. Le dropper installe l’APK sous le nom com.siliconworks.android.update, accorde des permissions runtime, se met en liste blanche de l’optimisation batterie, et se relance toutes les 60 secondes via un BootReceiver (priorité 999).

🏗️ Architecture technique

  • Binaire : ELF ARM 71 Ko, lié statiquement, strippé
  • Package réel : io.nexus.drifter
  • Bibliothèque native : libcyn.so extraite des assets et lancée via ProcessBuilder
  • Chiffrement : chiffrement de flux personnalisé, décrypté par émulation ARM via Unicorn CPU emulator
  • Auto-destruction : terminaison après ~7 jours (604 799 secondes)
  • Masquage de processus : renommage en ntpclient
  • Protection OOM : écriture de -1000 dans /proc/self/oom_score_adj

🌐 Infrastructure C2

Les domaines C2 imitent des marques de caméras IP pour se fondre dans le trafic réseau des segments partagés :

Domaine TLD Masquerade
daylightbomb[.]elite OpenNIC
hikvision-cctv[.]su .su Hikvision IP camera
nvms9000[.]su .su Hikvision NVMS9000 NVR
  • Résolveur DNS personnalisé : 194.50.5.27 (Australie), contournant le résolveur système
  • Obfuscation DNS : les adresses IP dans les enregistrements A ont leurs deux moitiés 16 bits permutées
  • DGA : sous-domaines aléatoires base36 de 4 à 18 caractères
  • Dead-drop Telegram : t.me/disconnect comme résolveur de secours
  • STUN : stun.sip.us:3478 pour la traversée NAT/CGNAT
  • Pool C2 : 25 IPs uniques (Linode/Akamai AS63949 ×16, GHOSTnet AS12586 ×4, DigitalOcean AS14061 ×4, Onidel AS152900 ×1)
  • Ports C2 : 23004, 25632, 32505, 34532, 36275, 36605, 37610, 44308

💥 Capacités d’attaque

8 méthodes DDoS dont 7 avec spoofing IP :

  • UDP flood (type 0 — le plus utilisé, payloads 1 400B ou 1B)
  • TCP SYN flood, TCP PSH+ACK flood, TCP ACK flood
  • ICMP echo flood
  • UDP flood socket (non spoofé)
  • UDP flood alternatif (amplification DNS)
  • GRE flood avec 566 plages sources spoofées (~204 millions d’IPs, quasi exclusivement chinoises)

Attaques observées : >70 commandes en monitoring C2, ciblant serveurs de jeux (Valve Source Engine, Minecraft), infrastructure cloud, hébergeurs, FAI en Asie, Europe et Amériques. Capacité de carpet-bombing sur des préfixes /19. Échelle maximale observée : 2,6 Tbps depuis ~80 000 sources.

🔗 Liens et distinctions

Drifter ne partage ni code, ni infrastructure, ni matériel cryptographique avec MossadProxy, Jackskid ou Kimwolf. Il partage des patterns architecturaux avec Mirai (port lock, OOM, masquage de processus, raw sockets) sans en dériver directement. L’anti-compétition tue les processus inconnus plutôt qu’une liste nommée de rivaux.

📄 Type d’article

Il s’agit d’une publication de recherche technique produite par Nokia Deepfield ERT, visant à documenter un nouveau botnet DDoS, exposer ses IoCs et ses mécanismes d’évasion pour permettre la détection et l’enrichissement CTI.

🧠 TTPs et IOCs détectés

TTP

  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1568.002 — Dynamic Resolution: Domain Generation Algorithms (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1036.004 — Masquerading: Masquerade Task or Service (Defense Evasion)
  • T1543.003 — Create or Modify System Process (Persistence)
  • T1547 — Boot or Logon Autostart Execution (Persistence)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1498.001 — Network Denial of Service: Direct Network Flood (Impact)
  • T1498.002 — Network Denial of Service: Reflection Amplification (Impact)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1095 — Non-Application Layer Protocol (Command and Control)
  • T1040 — Network Sniffing (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1562.006 — Impair Defenses: Indicator Blocking (Defense Evasion)

IOC

  • IPv4 : 194.50.5.27
  • IPv4 : 172.232.253.229
  • IPv4 : 172.232.35.106
  • IPv4 : 172.105.74.253
  • IPv4 : 5.230.170.237
  • IPv4 : 5.230.170.238
  • IPv4 : 5.230.170.239
  • IPv4 : 5.230.170.240
  • Domaines : daylightbomb.elite
  • Domaines : hikvision-cctv.su
  • Domaines : nvms9000.su
  • Domaines : connectivity.accesscam.org
  • URLs : https://t.me/disconnect
  • SHA256 : d22d9a91
  • SHA256 : 577a330a
  • Fichiers : libcyn.so

Malware / Outils

  • Drifter (botnet)
  • MossadProxy (botnet)
  • Jackskid (botnet)
  • Kimwolf (botnet)
  • CECbot (botnet)
  • Katana (botnet)
  • Mirai (botnet)

🔗 Source originale : https://github.com/deepfield/public-research/blob/main/drifter/report.md