Lumen 2026 Defender Threatscape Report : montée en puissance des botnets et proxies malveillants

🌐 Contexte

Publié le 7 avril 2026 par Lumen Technologies (source : ir.lumen.com), ce rapport annuel « Defender Threatscape 2026 » est produit par Black Lotus Labs, la division de recherche et d’opérations sur les menaces de Lumen. Il s’appuie sur une visibilité backbone couvrant 99% des adresses IPv4 publiques, avec monitoring quotidien de plus de 200 milliards de sessions NetFlow et requêtes DNS, 2,3 millions de menaces uniques et 46 000 C2 suivis chaque jour.

📊 Tendances majeures 2025

Le rapport identifie six tendances structurantes observées en 2025 :

• L’IA générative a accéléré la cadence des attaques : rotation d’infrastructure, scanning automatisé, gestion C2 à vitesse machine
• Les attaquants migrent vers les équipements edge (routeurs, VPN, firewalls) qui offrent accès privilégié, longue durée de vie et faible visibilité forensique
• Les écosystèmes criminels se professionnalisent à l’image de SaaS légitimes (ex : Rhadamanthys rebrandé en « RHAD Security »)
• Les réseaux proxy malveillants deviennent des économies d’anonymat à part entière (5socks, NSOCKS, SystemBC)
• La frontière nation-état / criminalité s’efface : Secret Blizzard (Turla/FSB) a détourné l’infrastructure de Storm-0156 (Pakistan)
• Le backbone internet devient une couche de détection précoce pour les défenseurs

🦠 Menaces détaillées

Kimwolf / Aisuru (DDoS botnet)

• Émergé fin 2025 comme pivot d’Aisuru, le botnet DDoS le plus puissant de 2025
• Exploitation de services proxy vulnérables (PyProxy, ABCProxy, TabProxy, ProxyS5) pour recruter des bots via LAN
• Attaques atteignant 30 Tbps, 550+ nœuds C2 null-routés par Black Lotus Labs
• Architecture : bots résidentiels, rotation rapide de domaines/IPs, redistribution automatique de malware

Rhadamanthys (MaaS infostealer)

• Plateforme Malware-as-a-Service la plus volumineuse en 2025, émergée fin 2022
• Portail de vente « RHAD Security », support client, tiers d’abonnement, couche proxy inverse « Elysium »
• Pic de 535 serveurs actifs en octobre 2025, >12 000 victimes mondiales
• Plus de 60% des C2 non détectés sur VirusTotal au moment de la publication initiale
• Victimes concentrées au Brésil, Argentine, Turquie, Inde, États-Unis

Brute Force à grande échelle

• Campagnes machine-driven ciblant Fortinet, Cisco ASA, SonicWALL, Palo Alto, VPNs exposés
• Pic Microsoft : 11 000 attaques par mot de passe/seconde (avril 2023)
• Utilisé par groupes criminels ET acteurs étatiques (Iran, Russie)

SystemBC (proxy botnet VPS)

• 80+ serveurs C2, ~1 500 victimes/jour, bots principalement des VPS compromis
• Débit extrême : un seul proxy IP générant 16+ Go de trafic proxy en 24h
• Revendu à des services russes (REM Proxy, service de parsing), vietnamiens (VN5Socks/Shopsocks5)
• Lié à des opérations AvosLocker et Morpheus

DanaBot (MaaS loader/infostealer)

• Actif depuis 2018, architecture multi-tiers T1/T2/T3, ~150 C2 actifs/jour, ~1 000 victimes/jour dans 40+ pays
• Seulement 25% des C2 détectés sur VirusTotal
• Perturbé lors d’Operation Endgame II (mai 2025), réapparu en novembre 2025 avec « Version 669 »
• Ciblage opportuniste autour d’événements calendaires (élections US novembre 2024, fêtes de fin d’année)

5socks botnet (proxy résidentiel)

• Opérationnel depuis 2004 selon son propre site, ~1 000 bots actifs/semaine, victimes dans 80+ pays
• Dispositifs IoT/SOHO EoL compromis, C2 hébergés en Turquie
• Proxies sans authentification, accessibles à tout acteur
• Démantelé en collaboration avec DOJ, FBI et Police nationale néerlandaise

J-magic (backdoor sur routeurs Juniper)

• Backdoor passif sur routeurs Juniper enterprise, actif de mi-2023 à mi-2024
• Activation via « magic packets » dans trafic TCP normal, reverse shell chiffré avec défi RSA
• Implant en mémoire uniquement (variante cd00r), renommage de processus pour imiter Junos OS
• Cibles : fabrication semiconducteurs, énergie, IT/réseau, ~50% des dispositifs ciblés étaient des VPN gateways

Secret Blizzard / Turla (espionnage étatique russe)

• FSB russe, aussi connu sous Turla
• Infiltration de 33 nœuds C2 de Storm-0156 (Pakistan, lié à SideCopy/Transparent Tribe) entre décembre 2022 et novembre 2024
• Déploiement de TwoDash et Statuezy dans des réseaux gouvernementaux afghans
• Appropriation de Waiscot et CrimsonRAT depuis les environnements opérateurs pakistanais
• VPS utilisés : 146.70.158[.]90, 162.213.195[.]129, 146.70.81[.]81, 162.213.195[.]192, 143.198.73[.]108

NSOCKS botnet (proxy résidentiel)

• Alimenté à 80%+ par le botnet ngioweb (routeurs SOHO/IoT)
• 35 000+ bots actifs/jour dans 180 pays, 2/3 basés aux États-Unis
• 180+ nœuds C2 backconnect, filtrage par domaine (.gov, .edu)
• Lié au groupe Muddled Libra et partagé avec Pawn Storm (APT28)
• Nœud de contrôle loader : 103.172.92[.]148

Raptor Train (botnet nation-état chinois)

• Attribué à Flax Typhoon (Chine)
• Architecture 3 tiers avec panneau de contrôle enterprise « Sparrow » (Node.js + Electron)
• Plus de 200 000 dispositifs compromis (routeurs SOHO, caméras IP, NVR/DVR, NAS)
• Implant principal Nosedive (variante Mirai custom, in-memory uniquement)
• Ciblage : militaire US, gouvernement US, télécoms, DIB, Taïwan, Kazakhstan
• Campagnes : Crossbill (2020-2022), Finch (2022-2023), Canary (2023), Oriole (2023-2024)

📈 Statistiques clés 2025

• Top infostealers par victimes : Lumma, Rhadamanthys, ACR Stealer, Vidar, StealC
• Top RATs : SectopRAT, PlugX, i2pRAT, AsyncRAT, Pupy
• Top familles bloquées dans Lumen Defender : SocksEscort, Ngioweb, Fortinet Brute Forcer, Promotei, Cisco ASA Brute Forcer
• 5 000+ disruptions C2 exécutées en 2025

🔮 Prédictions 2026

1. Accélération de la mise en place des attaques via IA générative et agents autonomes
2. Ciblage opportuniste des équipements edge exposés et EoL
3. Les signaux résident dans le réseau (rotation C2, formation de proxies, patterns de trafic)
4. L’infrastructure légitime devient le meilleur camouflage (proxies SOHO, VPS hijackés, IP résidentielles)

📋 Nature du document

Il s’agit d’un rapport annuel de threat intelligence publié par Lumen/Black Lotus Labs, combinant rétrospective 2025 et prédictions 2026. Son but principal est de démontrer la valeur de la visibilité backbone pour la détection précoce des menaces et de promouvoir les solutions Lumen Defender.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Secret Blizzard (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• Flax Typhoon (state-sponsored) — orkl.eu · Malpedia
• Storm-0156 (state-sponsored) — orkl.eu · Malpedia
• Muddled Libra (cybercriminal) — orkl.eu · Malpedia
• Pawn Storm (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1595 — Active Scanning (Reconnaissance)
• T1110 — Brute Force (Credential Access)
• T1090 — Proxy (Command and Control)
• T1583 — Acquire Infrastructure (Resource Development)
• T1584 — Compromise Infrastructure (Resource Development)
• T1059 — Command and Scripting Interpreter (Execution)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1036 — Masquerading (Defense Evasion)
• T1070 — Indicator Removal (Defense Evasion)
• T1055 — Process Injection (Defense Evasion)
• T1133 — External Remote Services (Initial Access)
• T1078 — Valid Accounts (Initial Access)
• T1190 — Exploit Public-Facing Application (Initial Access)
• T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1571 — Non-Standard Port (Command and Control)
• T1573 — Encrypted Channel (Command and Control)
• T1588.002 — Obtain Capabilities: Tool (Resource Development)
• T1496 — Resource Hijacking (Impact)
• T1498 — Network Denial of Service (Impact)

IOC

• IPv4 : 146.70.158.90 — AbuseIPDB · VT · ThreatFox
• IPv4 : 162.213.195.129 — AbuseIPDB · VT · ThreatFox
• IPv4 : 146.70.81.81 — AbuseIPDB · VT · ThreatFox
• IPv4 : 162.213.195.192 — AbuseIPDB · VT · ThreatFox
• IPv4 : 143.198.73.108 — AbuseIPDB · VT · ThreatFox
• IPv4 : 182.188.171.52 — AbuseIPDB · VT · ThreatFox
• IPv4 : 104.250.164.214 — AbuseIPDB · VT · ThreatFox
• IPv4 : 103.172.92.148 — AbuseIPDB · VT · ThreatFox
• Domaines : nslookups.com — VT · URLhaus · ThreatFox
• Domaines : k3121.com — VT · URLhaus · ThreatFox
• Domaines : b2047.com — VT · URLhaus · ThreatFox
• Domaines : w8510.com — VT · URLhaus · ThreatFox
• CVEs : CVE-2024-21887 — NVD · CIRCL

Malware / Outils

• Kimwolf (botnet)
• Aisuru (botnet)
• Rhadamanthys (stealer)
• SystemBC (botnet)
• DanaBot (loader)
• Nosedive (backdoor)
• TwoDash (backdoor)
• Statuezy (backdoor)
• Waiscot (rat)
• CrimsonRAT (rat)
• AllaKore (rat)
• Latrodectus (loader)
• ngioweb (botnet)
• Raptor Train (botnet)
• NSOCKS (botnet)
• 5socks (botnet)
• Lumma (stealer)
• Vidar (stealer)
• StealC (stealer)
• ACR Stealer (stealer)
• SectopRAT (rat)
• PlugX (rat)
• AsyncRAT (rat)
• Pupy (rat)
• i2pRAT (rat)
• Mylobot (botnet)
• Vo1d (botnet)
• Tofsee (botnet)
• GobRAT (rat)
• Mozi (botnet)
• Promotei (botnet)
• SocksEscort (tool)
• Elysium (tool)
• Sparrow (framework)
• Condor (tool)

---

🟢 Indice de vérification factuelle : 70/100 (haute)

• ⬜ ir.lumen.com — source non référencée (0pts)
• ✅ 131224 chars — texte complet (fulltext extrait) (15pts)
• ✅ 13 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 5/6 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 20 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Secret Blizzard, Flax Typhoon, Storm-0156 (5pts)
• ⬜ 0/1 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

• 146.70.158.90 (ip) → VT (6/94 détections)
• 162.213.195.129 (ip) → VT (5/94 détections)
• nslookups.com (domain) → VT (5/94 détections)
• k3121.com (domain) → VT (8/94 détections)
• b2047.com (domain) → VT (5/94 détections)

---

🔗 Source originale : https://ir.lumen.com/news/news-details/2026/Lumen-Unveils-2026-Defender-Threatscape-Report-Upstream-Network-Visibility-is-the-New-Front-Line-of-Cyber-Defense/default.aspx