Botnet

Source : Darktrace — Analyse d’une campagne émergente baptisée ShadowV2, conçue comme une plateforme DDoS-as-a-service, mêlant outils cloud-native et malware classique. • Le cœur de l’opération repose sur un C2 Python hébergé sur GitHub CodeSpaces, un spreader Python utilisant Docker comme vecteur d’accès initial, et un binaire Go jouant le rôle de RAT avec API REST pour l’enregistrement, le polling et l’exécution de commandes. L’infrastructure expose une spécification OpenAPI via FastAPI/Pydantic et un panneau opérateur complet, illustrant un modèle de DDoS-as-a-service. ...

Selon CloudSEK, une opération de botnet exploitant un modèle de Loader-as-a-Service distribue les charges malveillantes RondoDoX, Mirai et Morte. La campagne cible systématiquement des routeurs SOHO, des appareils IoT et des applications d’entreprise, avec une hausse d’attaques de 230 % et une rotation rapide de l’infrastructure. 🚨 Vecteurs et vulnérabilités: les acteurs abusent d’injections de commandes via des paramètres POST non filtrés dans des interfaces web (champs NTP, syslog, hostname), et exploitent des CVE connues affectant WebLogic, WordPress et vBulletin. Ils tirent aussi parti d’identifiants par défaut et de chargeurs multi‑étapes pour déployer les payloads sur plusieurs architectures. ...

Selon BleepingComputer, Cloudflare a atténué une attaque par déni de service distribué (DDoS) ayant atteint un pic record de 22,2 Tbps et 10,6 milliards de paquets par seconde (Bpps). Cloudflare a récemment repoussé une attaque par déni de service distribué (DDoS) record culminant à 22,2 térabits par seconde (Tbps) et 10,6 milliards de paquets par seconde (Bpps), soit près du double de la précédente attaque record de 11,5 Tbps. Cette attaque hyper-volumétrique, qui a visé une seule adresse IP d’une entreprise européenne d’infrastructure réseau, a duré seulement 40 secondes mais a généré un flux massif équivalant à un million de vidéos 4K diffusées en simultané. Le volume extrêmement élevé de paquets rend l’attaque particulièrement difficile à filtrer pour les équipements réseau, notamment les pare-feux et routeurs. ...

Selon le Wall Street Journal (WSJ), les autorités et les entreprises tech affrontent une nouvelle génération de botnets plus puissants, illustrée par Aisuru qui a lancé des attaques DDoS record après un récent démantèlement du FBI. Après l’intervention du FBI, jusqu’à 95 000 appareils compromis se sont retrouvés exposés et ont été rapidement réintégrés par d’autres opérateurs. Le botnet rival Aisuru en a capté plus d’un quart et a aussitôt déclenché des attaques DDoS « battant des records », selon Google. Le 1er septembre, Cloudflare a mesuré un pic à 11,5 Tb/s, présenté comme un record mondial. Ces assauts, très courts (quelques secondes), sont perçus comme des démonstrations de force, et ne refléteraient qu’une fraction de la capacité disponible de l’infrastructure, d’après Nokia Deepfield. ...

Selon XLab (Qianxin), une analyse approfondie du botnet AISURU met en lumière une infrastructure de menace à très grande échelle, créditée d’attaques DDoS record jusqu’à 11,5 Tbps et d’un parc de plus de 300 000 appareils compromis. L’opération serait pilotée par un trio (« Snow », « Tom », « Forky ») et s’étend au-delà du DDoS vers des services de proxy. Les chercheurs décrivent une compromission à large spectre de routeurs (avec un ciblage marqué des appareils Totolink via des serveurs de mise à jour de firmware compromis) et d’autres équipements comme des DVR, en exploitant de multiples CVE. Le botnet supporte plusieurs vecteurs d’attaque, notamment le UDP flooding, et inclut des fonctions de shell distant. ...

Selon Cyber Security News, s’appuyant sur des observations de GreyNoise, une campagne de reconnaissance à grande échelle cible les services Microsoft RDP, en particulier RD Web Access et le client web RDP, avec plus de 30 000 adresses IP impliquées. 🚨 L’opération a débuté le 21 août 2025 avec près de 2 000 IPs puis a brusquement grimpé le 24 août à plus de 30 000 IPs utilisant des signatures client identiques, indiquant une infrastructure de botnet ou un outillage coordonné. Les chercheurs notent que 92 % de l’infrastructure de scan était déjà classée malveillante, avec un trafic source fortement concentré au Brésil (73 %), visant exclusivement des endpoints RDP basés aux États‑Unis. Sur les 1 971 hôtes initiaux, 1 851 partageaient des signatures client uniformes, suggérant un C2 centralisé typique d’opérations APT. ...

Selon KrebsOnSecurity, un homme de 22 ans originaire de l’Oregon a été arrêté, soupçonné d’être l’opérateur de « Rapper Bot », un vaste botnet utilisé pour un service de DDoS-for-hire. 🚔 L’enquête pointe « Rapper Bot » comme une infrastructure de botnet majeure, exploitée pour lancer des attaques DDoS contre diverses cibles. L’article précise que ce service aurait notamment été utilisé lors d’une attaque en mars 2025 qui a mis Twitter/X hors ligne. ...

L’article publié par Emerging Technology Security met en lumière une vulnérabilité critique dans ChatGPT Codex, un outil d’assistance au codage d’OpenAI. Des chercheurs en sécurité ont démontré qu’il est possible de contourner la Common Dependencies Allowlist de ChatGPT Codex, permettant à des attaquants de prendre le contrôle à distance des agents d’IA. Cette faille repose sur des techniques d’injection de commande et des permissions réseau trop larges, transformant ainsi les assistants de codage en nœuds de botnet. ...

L’article de ictjournal.ch rapporte le démantèlement d’un botnet utilisé par le groupe de hackers pro-russe Noname057(16), impliqué dans des attaques DDoS contre des infrastructures critiques en Occident, y compris en Suisse. Le Ministère public de la Confédération suisse (MPC) a émis trois mandats d’arrêt après une opération coordonnée par Europol, impliquant plusieurs pays. Bien que des équipements aient été saisis et des arrestations effectuées, aucun ordinateur ou individu en Suisse n’a été directement lié aux attaques. ...

L’article publié par BleepingComputer rapporte que Google a intenté une action en justice contre les opérateurs anonymes du botnet Android BadBox 2.0. Google accuse ces opérateurs de mener un schéma de fraude publicitaire à l’échelle mondiale, ciblant les plateformes publicitaires de l’entreprise. Cette action en justice vise à perturber les activités malveillantes qui exploitent les appareils Android pour générer des revenus illicites grâce à des clics frauduleux sur des publicités. ...