Botnet

🌐 Contexte Publié le 30 mars 2026 par Pulsedive Threat Research, cet article constitue un primer technique sur l’écosystème des botnets modernes basés sur Mirai, avec un focus sur les familles Aisuru, KimWolf et Satori, ainsi que sur les actions de démantèlement menées par le DOJ américain le 19 mars 2026. 📈 Tendances générales Spamhaus a enregistré une hausse de 24 % des serveurs C2 de botnets sur la période juillet-décembre 2025 par rapport au semestre précédent, et de 26 % sur janvier-juin 2025. Les États-Unis ont dépassé la Chine comme pays hébergeant le plus de serveurs C2, une position que la Chine détenait depuis le troisième trimestre 2023. ...

🔍 Contexte Publié le 28 mars 2026 par la Nokia Deepfield Emergency Response Team (ERT), ce rapport documente Drifter, un botnet DDoS jusqu’alors inconnu. Il s’inscrit dans une série de recherches sur l’écosystème de botnets exploitant la surface d’attaque ADB (Android Debug Bridge) sur des appareils Android TV non certifiés. 🎯 Vecteur d’infection et cibles Drifter cible les appareils Android TV AOSP bon marché exposant ADB sans authentification, la même population de dispositifs que MossadProxy v2.5.2, Jackskid et Kimwolf. Le dropper installe l’APK sous le nom com.siliconworks.android.update, accorde des permissions runtime, se met en liste blanche de l’optimisation batterie, et se relance toutes les 60 secondes via un BootReceiver (priorité 999). ...

🌐 Contexte Le 21 mars 2026, Security Affairs rapporte qu’une opération internationale coordonnée par le Département de Justice américain (DoJ) a ciblé l’infrastructure de commandement et contrôle (C2) de plusieurs botnets IoT majeurs : AISURU, Kimwolf, JackSkid et Mossad. L’opération a impliqué des autorités du Canada et de l’Allemagne, ainsi que des entreprises technologiques privées. 🎯 Botnets ciblés et ampleur Les quatre botnets ont infecté plus de 3 millions d’appareils dans le monde, principalement des équipements IoT (caméras, routeurs). Ils opéraient selon un modèle cybercrime-as-a-service, louant l’accès aux appareils compromis pour lancer des attaques DDoS massives : ...

Selon bka.de, dans un communiqué du 20 mars 2026, la ZACNRW et le Bundeskriminalamt (BKA) ont mené le 19/03/2026 une opération internationale avec le Canada et les États‑Unis pour démanteler deux des plus grands botnets actuels, Aisuru et Kimwolf. 🚔 Les autorités ont neutralisé l’infrastructure technique mondialement répartie des deux botnets. Deux administrateurs présumés ont été identifiés; des perquisitions ont eu lieu en Allemagne et au Canada, avec saisies de nombreux supports de données et de cryptomonnaies (montant à cinq chiffres). L’action s’inscrit dans des enquêtes de plusieurs mois, techniquement complexes et étroitement coordonnées à l’international. ...

Selon Black Lotus Labs (Lumen), dans une publication du 10 mars 2026, un nouveau malware nommé KadNap cible principalement des routeurs Asus pour bâtir un botnet d’environ 14 000 appareils, utilisé comme proxy criminel via le service « Doppelganger ». Lumen indique avoir bloqué proactivement le trafic vers/depuis l’infrastructure de contrôle et publiera des IoCs. • Découverte et ampleur 🕵️‍♂️ Depuis août 2025, KadNap a été observé à grande échelle, avec une moyenne quotidienne de 14 000 victimes et 3–4 C2 actifs. Plus de 60 % des victimes sont aux États‑Unis; d’autres se trouvent à Taïwan, Hong Kong et Russie. Bien que visant surtout les routeurs Asus, le botnet affecte aussi d’autres équipements réseau en périphérie. L’opérateur segmente ses C2 par type/modèle d’appareil. ...

Selon Qrator Research Lab (26 février 2026), un nouveau loader de botnet nommé Aeternum C2 exploite la blockchain Polygon pour héberger ses commandes de contrôle, contournant les méthodes classiques de démantèlement. Aeternum C2 est un loader natif C++ (x32/x64) dont l’originalité est de stocker chaque commande de C2 dans des smart contracts Polygon, que les hôtes infectés lisent via des endpoints RPC publics. L’opérateur pilote le tout via un panneau web : sélection d’un contrat, type d’action (tous les bots, ciblage par HWID, chargement de DLL), URL de payload, puis écriture on-chain. Les commandes sont confirmées sur la chaîne et diffusées aux bots en 2 à 3 minutes. Plusieurs contrats peuvent coexister (ex. « Clipper », « Get Sys Info DLL », « ps1 », « .bat », « putty.exe »), chacun lié à une adresse Polygon. ...

Selon une publication de recherche de Flare (février 2026), l’opération « SSHStalker » est un nouveau botnet Linux non documenté jusque‑là, qui privilégie une architecture C2 IRC résiliente et peu coûteuse, une automatisation de compromission SSH à grande échelle, et une persistance bruyante via cron. Malgré des capacités de DDoS et de cryptomining, les instances observées maintiennent un accès « dormant » sans monétisation immédiate. L’attaque s’appuie sur un binaire Golang se faisant passer pour « nmap » pour scanner l’SSH (port 22), puis enchaîne la staging/compilation locale (GCC) et l’enrôlement automatique sur des canaux IRC. Des bots C en variantes multiples (1.c, 2.c, a.c) rejoignent des serveurs comme gsm.ftp.sh et plm.ftp.sh (canaux #auto, #xx, clé IRC partagée), tandis qu’un bot Perl (UnrealIRCd) sert de relais C2 et d’outil DDoS. La persistance repose sur un cron chaque minute et un script update « watchdog » qui relance le bot si tué, assurant un retour en <60 s. ...

Selon Spamhaus (Botnet Threat Update Jan–Jun 2025), l’activité des serveurs de commande et contrôle (C2) de botnets remonte de 26% au premier semestre 2025, après 18 mois de baisse. Le rapport couvre les volumes, la géolocalisation, les familles de malwares associées, les TLD et registrars les plus abusés, ainsi que les réseaux les plus touchés. 📈 Volumétrie et tendances globales 17 258 C2 identifiés entre janvier et juin 2025 (moyenne mensuelle: 2 876, vs 2 287 au semestre précédent). Cinq nouvelles familles dans le Top 20: XWorm, ValleyRAT, Chaos (ransomware builder), Joker (Android), DeimosC2 (framework de pentest). Frameworks de pentest en tête (43% des malwares du Top 20), portés par Cobalt Strike (30% à lui seul), et fortes hausses de Sliver (+138%) et Havoc (+139%). RATs en progression, représentant 39,8% des malwares liés aux C2. 🚔 Operation Endgame 2.0 (mai 2025) ...

Source : Google Threat Intelligence Group (GTIG), 28 janvier 2026. GTIG détaille une opération conjointe visant à perturber ce qu’il présente comme l’un des plus grands réseaux de proxies résidentiels au monde, IPIDEA, utilisé à grande échelle par des acteurs malveillants. GTIG décrit trois volets d’action principaux : prise de mesures légales pour faire retirer des domaines de commande et de contrôle (C2) et de marketing, partage de renseignements techniques (SDKs et logiciels proxy) avec plateformes, forces de l’ordre et partenaires de recherche, et renforcement des protections Android via Google Play Protect pour détecter, avertir et supprimer les applications intégrant les SDKs IPIDEA. GTIG estime que ces actions ont « réduit de millions » le nombre de dispositifs disponibles pour le réseau, avec des impacts potentiels en cascade chez des entités affiliées. ...

Infoblox publie une analyse fondée sur sa télémétrie DNS, recoupée avec des recherches de Synthient et un article de KrebsOnSecurity, décrivant comment le botnet Kimwolf abuse des proxies résidentiels et de tours de passe-passe DNS pour sonder des réseaux internes. 🚨 Menace et vecteur: La croissance de Kimwolf est alimentée par l’abus de services de proxies résidentiels (via appareils compromis et applications mobiles dotées de SDK de monétisation de proxy) pour sonder les réseaux Wi‑Fi locaux et viser des appareils vulnérables — principalement des Android TV. Selon Synthient, un « DNS trick » et un large parc d’appareils non sécurisés ont permis la compromission de millions d’appareils domestiques en quelques mois. ...