📰 Source : lina.sh/blog/ddos-honeypot — Publication du 04/05/2026. Article d’analyse technique rédigé par un chercheur indépendant ayant investigué l’infrastructure d’Operation PowerOFF.

Contexte : Operation PowerOFF

Operation PowerOFF est une opération internationale coordonnée visant à démanteler les services DDoS-for-hire (booters). Elle implique le FBI, la UK National Crime Agency (NCA), Europol, et est principalement pilotée par la police néerlandaise (Politie). L’opération a conduit à la saisie d’environ une centaine de domaines et à plusieurs arrestations.

Découverte des honeypots

Le chercheur a identifié deux types de sites opérés par la police néerlandaise :

  • cyberzap.fun : honeypot covert imitant un vrai service booter. Le site disposait d’un dashboard avec de faux graphiques de vitesse réseau, un compteur de bots, un système d’inscription avec captcha Turnstile, un email d’activation fonctionnel, et des options de paiement (Bitcoin, Monero, PayPal, carte bancaire). Toute tentative de paiement échoue avec un message d’erreur. L’objectif est de collecter l’IP et l’email des utilisateurs comme preuves potentielles.
  • netcrashers.net : site overt redirigant immédiatement vers une page d’avertissement policier mentionnant explicitement la police néerlandaise, conçu comme outil de dissuasion (scare tactic) ciblant les jeunes.

Indicateurs d’attribution à la police néerlandaise

  • Les enregistrements MX DNS de cyberzap.fun pointent vers bit.nl, hébergeur régulièrement utilisé par la police néerlandaise.
  • Le domaine cyberzap.fun a été créé le 3 avril 2025.
  • Une archive Wayback Machine de juillet 2025 montre le site encore vide.
  • Un domaine connexe bytecannon.net a été simultanément verrouillé lors de la découverte.

Réaction des opérateurs lors de l’investigation

Pendant l’investigation, le chercheur s’est inscrit avec l’email conducting-research-hello-operation-poweroff@lina.sh. Peu après, cyberzap.fun a été mis hors ligne (réponse HTTP 401 Unauthorized), ainsi que bytecannon.net, suggérant une surveillance active des logs par les opérateurs. Seul netcrashers.net est resté en ligne.

Objectifs stratégiques identifiés

  • Collecte de preuves : IP et emails des utilisateurs tentant de commander des attaques.
  • Création de paranoia : inciter les acteurs malveillants à ne plus faire confiance aux services booters.
  • Dissuasion : via les sites overt comme netcrashers.net et une vidéo de propagande publiée sur operation-poweroff.com.

🔎 Type d’article : analyse technique et investigation OSINT. But principal : documenter et exposer l’infrastructure honeypot déployée par la police néerlandaise dans le cadre d’Operation PowerOFF.

🧠 TTPs et IOCs détectés

TTP

  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1598 — Phishing for Information (Reconnaissance)

IOC

  • Domaines : cyberzap.funVT · URLhaus · ThreatFox
  • Domaines : netcrashers.netVT · URLhaus · ThreatFox
  • Domaines : bytecannon.netVT · URLhaus · ThreatFox
  • URLs : https://cyberzap.fun/URLhaus
  • URLs : https://netcrashers.net/URLhaus
  • URLs : https://operation-poweroff.com/assets/video.mp4URLhaus
  • Emails : conducting-research-hello-operation-poweroff@lina.sh

🔴 Indice de vérification factuelle : 33/100 (basse)

  • ⬜ lina.sh — source non référencée (0pts)
  • ✅ 8483 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 7 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/6 IOCs confirmés externellement (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://lina.sh/blog/ddos-honeypot