Botnet

Selon KrebsOnSecurity (23 janvier 2026), le botnet IoT Kimwolf s’est rapidement étendu fin 2025 en abusant de services de proxies résidentiels pour pivoter vers les réseaux locaux, avec une présence notable dans des réseaux d’administrations et d’entreprises. • Nature de la menace: Kimwolf est un botnet IoT ayant infecté plus de 2 millions d’appareils, utilisés pour des attaques DDoS massives et le relais de trafic malveillant (fraude publicitaire, prises de contrôle de comptes, scraping de contenu). Sa capacité à scanner les réseaux locaux des points d’accès compromis lui permet d’infecter d’autres IoT à proximité. ...

Source: Check Point Research (publication du 7 janvier 2026). CPR analyse une variante 2025 de GoBruteforcer (GoBrut), un botnet modulaire en Go qui transforme des serveurs Linux compromis en nœuds de scan et de brute-force, avec un intérêt marqué pour des cibles crypto. Le botnet cible des services exposés (FTP, MySQL, PostgreSQL, phpMyAdmin) et se propage via une chaîne web shell → downloader → bot IRC → bruteforcer. Deux facteurs alimentent la vague actuelle: l’usage massif d’exemples de déploiement générés par IA 🧠 qui recyclent des noms d’utilisateurs/défauts faibles (ex. appuser, myuser) et la persistance de stacks legacy comme XAMPP exposant FTP/phpMyAdmin avec un durcissement minimal. Selon CPR, >50 000 serveurs exposés pourraient être vulnérables; Shodan relève ~5,7 M de FTP, 2,23 M de MySQL et 560 k de PostgreSQL accessibles. L’ensemble de mots de passe utilisé par GoBruteforcer chevauche à 2,44% une base de 10 M de mots de passe fuités, ce qui suggère qu’environ 54,6 k MySQL et 13,7 k PostgreSQL pourraient accepter l’un des mots de passe de l’attaquant. ...

Source : KrebsOnSecurity (2 janv. 2026). L’article synthétise des recherches de Synthient et d’autres acteurs (XLab, Quokka, Akamai, Spur) sur le botnet « Kimwolf », actif depuis plusieurs mois et opérant à grande échelle. Kimwolf a atteint entre 1,8 et 2 millions d’appareils compromis, majoritairement des boîtiers Android TV non officiels et des cadres photo connectés. Les machines infectées servent à relayer du trafic abusif (fraude publicitaire, prises de contrôle de comptes, scraping) et à lancer des DDoS massifs. Les infections sont concentrées notamment au Brésil, Inde, États‑Unis, Vietnam, Arabie saoudite, Russie (observations variables selon les sources XLab/Synthient). ...

Selon Xlab (rapport technique publié le 19 décembre 2025), un nouvel échantillon de botnet Android nommé « Kimwolf » a été reçu le 24 octobre 2025, autour d’un C2 au domaine 14emeliaterracewestroxburyma02132[.]su qui a atteint la 1re place du classement de popularité Cloudflare, signe d’une activité massive. Kimwolf cible principalement des boîtiers TV Android, intègre des fonctions de DDoS, proxy, reverse shell et gestion de fichiers, et met en œuvre des techniques d’évasion (chiffrement simple par XOR, DNS-over-TLS, authentification ECDSA côté C2, et migration vers ENS pour la résilience du C2). ...

Source et contexte: Cloudflare publie la 23e édition de son rapport trimestriel consacré aux menaces DDoS, focalisée sur le T3 2025 et fondée sur les données issues de son réseau mondial. 📈 Chiffres clés 8,3 millions d’attaques DDoS automatiquement détectées et atténuées au T3 2025 (+15 % vs T2, +40 % vs N-1), soit en moyenne 3 780 attaques/heure. 36,2 millions d’attaques atténuées depuis le début de 2025 (soit 170 % du total de 2024, avec un trimestre restant). 71 % des attaques sur la couche réseau (5,9 M; +87 % QoQ, +95 % YoY) vs 29 % sur la couche HTTP (2,4 M; -41 % QoQ, -17 % YoY). 🚨 Aisuru: botnet hyper‑volumétrique record ...

Selon Howler Cell Research Team, une enquête a mis au jour une chaîne multi‑infection liée à un botnet, au centre de laquelle un étudiant bangladais vend l’accès à des sites compromis (surtout WordPress et cPanel) à des acheteurs principalement basés en Asie, via Telegram et paiements en cryptomonnaie. Principaux constats 🔎 Webshell PHP ‘Beima’: totalement indétecté par des outils modernes, y compris VirusTotal (depuis mai 2024). Marché: plus de 5 200 sites compromis listés à la vente sur Telegram; .EDU/.GOV ~200 $ contre 3–4 $ pour d’autres sites; 76% des cibles seraient gouvernement/éducation. Origine/acheteurs: vendeur étudiant au Bangladesh; acheteurs surtout Chine, Indonésie, Malaisie; focus pays: Inde, Indonésie (aussi Brésil, Thaïlande, États‑Unis). Accès initial: mauvaise configuration WordPress et cPanel; diffusion via un panneau de botnet. Détails techniques du webshell 🐚 ...

Source: BleepingComputer — GreyNoise Labs a annoncé « GreyNoise IP Check », un outil gratuit permettant de vérifier si une adresse IP a été vue dans des opérations de scan malveillant, notamment issues de botnets et de réseaux de proxies résidentiels. GreyNoise explique que les réseaux de proxies résidentiels ont fortement augmenté l’an dernier, transformant des connexions domestiques en points de sortie pour du trafic tiers. Cette situation survient soit via l’installation volontaire de clients de partage de bande passante, soit plus souvent via des malwares infiltrés par des applications ou extensions de navigateur douteuses qui transforment silencieusement les appareils en nœuds d’infrastructure. ...

Contexte: KrebsOnSecurity publie une enquête sur des boîtiers Android TV (Superbox et modèles similaires) vendus sur de grandes places de marché et susceptibles d’intégrer des composants qui transforment les réseaux des utilisateurs en proxys résidentiels exploités pour des activités illicites. • Les boîtiers Superbox sont commercialisés ~400 $ avec la promesse d’accéder à plus de 2 200 services, mais requièrent le remplacement du Google Play Store par un « App Store/Blue TV Store » non officiel. Des experts indiquent que ces appareils relaient du trafic tiers via un réseau proxy résidentiel (ex. Grass/getgrass[.]io), malgré l’affirmation du fabricant qu’il ne fournit que le matériel et n’installe pas d’apps contournant les paywalls. ...

Selon KrebsOnSecurity, depuis une semaine, des domaines associés au vaste botnet Aisuru ont à plusieurs reprises supplanté Amazon, Apple, Google et Microsoft dans le classement public des sites les plus fréquemment sollicités de Cloudflare. Cloudflare a réagi en retirant/masquant (« redacting ») les noms de domaine d’Aisuru de ses listes des sites les plus consultés. Points clés: Menace: botnet Aisuru. Impact: usurpation du classement des sites les plus demandés, devant de grands acteurs (Amazon, Apple, Google, Microsoft). Réponse: Cloudflare a occulté les domaines concernés dans ses « top websites ». IOCs et TTPs: ...

Source: GreyNoise — Le fournisseur de threat intelligence rapporte l’identification d’une opération botnet à grande échelle et centralisée, débutée le 8 octobre 2025, ciblant l’infrastructure RDP aux États‑Unis. 🚨 L’opération utilise deux méthodes principales d’attaque: Microsoft RD Web Access Anonymous Authentication Timing Attack Scanner et Microsoft RDP Web Client Login Enumeration Check. Les schémas d’activité indiquent une campagne coordonnée visant à sonder et énumérer les accès RDP exposés aux États‑Unis. ...