Botnet

🔍 Contexte Source : BleepingComputer — Article publié le 22 mai 2026. Les autorités américaines et canadiennes ont conjointement procédé à l’arrestation et à l’inculpation d’un homme de nationalité canadienne, suspecté d’avoir administré le botnet KimWolf. 🎯 Nature de la menace Le botnet KimWolf est un réseau de type DDoS (Distributed Denial-of-Service) ayant infecté près de deux millions d’appareils à travers le monde. Les tags associés à l’article mentionnent une composante IoT, suggérant que les dispositifs compromis incluaient des équipements connectés. ...

🔍 Contexte Publié le 29 avril 2026 par Darktrace (blog Inside the SOC), cet article présente l’analyse technique d’une campagne observée le 18 mars 2026 sur le réseau de honeypots “CloudyPots” de Darktrace. Un acteur malveillant a exploité une instance Jenkins intentionnellement mal configurée pour déployer un botnet DDoS ciblant les serveurs de jeux vidéo. 🎯 Vecteur d’accès initial L’attaquant a abusé de l’endpoint scriptText de Jenkins, qui permet l’exécution de scripts Groovy via la JVM. L’instance honeypot était configurée avec un mot de passe faible, permettant une exécution de code à distance (RCE). Le script malveillant a été envoyé en form-data (URL-encodé) et décodé via CyberChef par les analystes. ...

🗓️ Contexte Article publié le 3 mai 2026 sur webhosting.today par Łukasz Nowak. Il s’agit d’un suivi d’une couverture initiale du 29 avril 2026 portant sur la divulgation d’une vulnérabilité critique dans cPanel et WHM. L’article compile des données de Rapid7, Censys, GreyNoise, KnownHost et NocInit. 🔍 Vulnérabilité CVE-2026-41940 est classée CWE-306 (Missing Authentication for Critical Function). Le mécanisme technique repose sur une injection CRLF dans le processus de chargement et sauvegarde de sessions de cPanel, permettant à un attaquant non authentifié de manipuler les fichiers de session et d’injecter des privilèges root, contournant entièrement l’écran de connexion sur les interfaces cPanel et WHM. ...

🔍 Contexte Publié le 7 mai 2026 par Valter Santos (Principal Threat Researcher, Bitsight), cet article présente les résultats d’une investigation empirique menée sur 55 jours (19 janvier – 15 mars 2026) portant sur l’écosystème mondial des services de proxies résidentiels (RESIP). 📊 Échelle observée L’étude a ciblé 30 services de proxies parmi plus de 150, sélectionnés pour leur faible vérification KYC. Les chiffres clés : 989 686 388 événements d’énumération totaux 53 346 368 IPs uniques globales 36 842 328 IPs uniques sur les 30 derniers jours Pics journaliers : Netnut (2,3M nœuds), LunaProxy (1,85M), 711Proxy (1,65M), 922Proxy (1,64M), ThunderProxy (1,47M) 🦠 Taux d’infection et symbiose malware La corrélation entre les IPs de sortie des proxies et les datasets de systèmes compromis de Bitsight révèle : ...

🗞️ Contexte Source : KrebsOnSecurity — Publié le 30 avril 2026. Un fichier archive exposé dans un répertoire ouvert en ligne a été transmis à KrebsOnSecurity par une source anonyme. Ce fichier contient des éléments compromettants impliquant Huge Networks, une société brésilienne fondée à Miami en 2014, spécialisée dans la protection DDoS pour opérateurs réseau. 🎯 Activité malveillante identifiée L’archive exposée révèle qu’un acteur malveillant basé au Brésil a : Maintenu un accès root à l’infrastructure de Huge Networks Construit un botnet DDoS puissant en scannant massivement Internet à la recherche de routeurs TP-Link Archer AX21 vulnérables à CVE-2023-1389 (injection de commande non authentifiée, patchée en avril 2023) Utilisé des serveurs DNS mal configurés pour des attaques par réflexion/amplification DNS (facteur d’amplification x60-70) Ciblé exclusivement des plages d’adresses IP brésiliennes (FAI régionaux) Coordonné les scans depuis un serveur Digital Ocean signalé des centaines de fois pour activité abusive Utilisé les clés SSH privées du CEO Erick Nascimento dans les scripts d’attaque Python 🛠️ Détails techniques Malware : variante de Mirai (IoT botnet) Vulnérabilité exploitée : CVE-2023-1389 sur routeurs TP-Link Archer AX21 Domaines C2 identifiés : hikylover[.]st, c.loyaltyservices[.]lol Scripts : programmes Python en langue portugaise, incluant historique de commandes et clés SSH Méthode d’attaque : chaque préfixe IP ciblé attaqué 10-60 secondes avec 4 processus parallèles par hôte Technique DDoS : amplification DNS via serveurs récursifs ouverts 👤 Position du CEO Erick Nascimento (CEO de Huge Networks) nie toute implication directe. Il attribue l’activité à une intrusion détectée le 11 janvier 2026 ayant compromis deux serveurs de développement et ses clés SSH personnelles via un serveur bastion/jump server. Il affirme avoir détruit le droplet compromis et rotation des clés le jour même. Une firme tierce de forensics réseau a été mandatée. Il affirme détenir des preuves blockchain impliquant un concurrent. ...

🔍 Contexte Article de recherche publié le 28 avril 2026 par Ax Sharma (Manifold Security). L’analyse porte sur 30 skills publiés sur la plateforme ClawHub par un auteur unique nommé imaflytok, totalisant environ 9 800 téléchargements. ⚙️ Mécanisme technique Les skills utilisent un protocole maison appelé Open Agent Discovery Protocol (OADP) dont tous les endpoints pointent vers onlyflies.buzz/clawswarm. Le vecteur d’infection repose sur : Un commentaire HTML caché dans un fichier AGENTS.md créé dans le workspace de l’agent au premier lancement L’agent lit ce fichier à chaque démarrage de session et envoie une requête d’enregistrement vers https://onlyflies.buzz/clawswarm/api/v1/agents/register Le serveur retourne un ID et un secret stockés dans ~/.config/clawswarm/credentials.json Un fichier HEARTBEAT.md déclenche un check-in toutes les 4 heures pour récupérer des tâches Le skill clawswarm-wallet génère une clé privée Hedera (HBAR) et l’envoie au serveur Le skill oadp-beacon propage les marqueurs OADP dans d’autres fichiers du workspace Le hostname de la machine est exfiltré lors du ping d’enregistrement 🎯 Objectif de la campagne Les skills fournissent une utilité réelle (gestion de cron, variables d’environnement, initialisation de workspace) pour passer les inspections superficielles. En réalité, ils constituent un funnel d’acquisition pour un réseau d’agents économiques centré sur le token $FLY (créé le 30 décembre 2024), avec un groupe Telegram de 32 membres publiant des rapports de suivi de baleines Hedera. ...

🌐 Contexte Publié le 23 avril 2026 par le NCSC (National Cyber Security Centre) du Royaume-Uni lors de la conférence CYBERUK 2026, cet avis conjoint implique 15 agences partenaires issues de 9 pays (Australie, Canada, Allemagne, Japon, Pays-Bas, Nouvelle-Zélande, Espagne, Suède, États-Unis). 🎯 Menace identifiée L’avis porte sur l’utilisation à grande échelle de réseaux couverts (covert networks) par des acteurs liés à la Chine pour masquer l’origine de leurs cyberattaques. Ces réseaux sont constitués d’appareils connectés compromis (routeurs domestiques, objets connectés, équipements edge) formant des botnets. ...

🔍 Contexte Publié le 16 avril 2026 par BitSight, cet article constitue le second volet d’une série d’analyses sur le botnet RondoDox, actif depuis mai 2025 jusqu’à au moins janvier 2026. Il couvre en détail l’implant initial, le binaire principal, le protocole C2 et l’évolution des capacités du malware. 🦠 Chaîne d’infection L’infection débute par l’exploitation de vulnérabilités sur des systèmes exposés (ex: React2Shell, Netgear, Linksys, Edimax). Un script shell est exécuté en mémoire sans écriture disque, réalisant : ...

🌐 Contexte Publié le 7 avril 2026 par Lumen Technologies (source : ir.lumen.com), ce rapport annuel « Defender Threatscape 2026 » est produit par Black Lotus Labs, la division de recherche et d’opérations sur les menaces de Lumen. Il s’appuie sur une visibilité backbone couvrant 99% des adresses IPv4 publiques, avec monitoring quotidien de plus de 200 milliards de sessions NetFlow et requêtes DNS, 2,3 millions de menaces uniques et 46 000 C2 suivis chaque jour. ...

🗓️ Contexte Article publié le 8 avril 2026 par CNN (Isaac Yee), relatant une violation de données alléguée contre le Centre national de supercalcul (NSCC) de Tianjin, Chine. L’information repose sur des déclarations d’experts en cybersécurité ayant examiné des échantillons de données publiés en ligne, ainsi que sur des échanges directs avec le prétendu attaquant. 🎯 Nature de l’incident Un acteur se faisant appeler FlamingChina affirme avoir exfiltré plus de 10 pétaoctets de données sensibles depuis le NSCC de Tianjin, un hub centralisé desservant plus de 6 000 clients en Chine, dont des agences scientifiques avancées et de défense. Le 6 février, l’acteur a publié un échantillon sur un canal Telegram anonyme. ...