Botnet Kimwolf
Des experts en cybersécurité ont découvert un vaste botnet d'attaque par déni de service distribué (DDoS), baptisé Kimwolf, qui a déjà infecté plus de 1,8 million d'appareils, notamment des téléviseurs, des décodeurs et des tablettes Android. Les premières investigations suggèrent un lien potentiel avec le tristement célèbre botnet AISURU. Cette découverte met en lumière la sophistication croissante des logiciels malveillants ciblant l'Internet des objets (IoT) et souligne l'impérieuse nécessité d'une vigilance accrue en matière de protection des appareils connectés.
Table des matières
Anatomie de Kimwolf
Kimwolf est développé à l'aide du kit de développement natif (NDK) et combine de nombreuses fonctionnalités allant au-delà des attaques DDoS traditionnelles. Ses principales caractéristiques sont les suivantes :
- Transfert par proxy
- Accès shell inversé
- fonctions de gestion de fichiers
Le logiciel malveillant du botnet est conçu pour exécuter un seul processus par appareil, décrypter les domaines de commande et de contrôle (C2) intégrés, résoudre l'adresse IP du C2 à l'aide de DNS sur TLS et exécuter les commandes reçues de ses opérateurs.
Échelle et activité record
En seulement trois jours, du 19 au 22 novembre 2025, Kimwolf aurait émis 1,7 milliard de commandes d'attaques DDoS. L'un de ses domaines de commande et de contrôle, 14emeliaterracewestroxburyma02132[.]su, est même brièvement apparu parmi les 100 premiers domaines de Cloudflare, dépassant temporairement Google.
Les cibles principales de l'infection comprennent les décodeurs TV résidentiels tels que :
- Boîtier TV, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
Géographiquement, les infections sont concentrées au Brésil, en Inde, aux États-Unis, en Argentine, en Afrique du Sud et aux Philippines, bien que le mode de propagation exact reste incertain.
Évolution et résilience
Kimwolf fait preuve d'une grande capacité d'adaptation. Ses domaines C2 ont été neutralisés au moins trois fois en décembre 2025, incitant ses opérateurs à adopter les domaines Ethereum Name Service (ENS) pour renforcer leur infrastructure. Les versions récentes du logiciel malveillant intègrent EtherHiding, une technique qui récupère l'adresse IP réelle du C2 via des contrats intelligents et la transforme par des opérations XOR, rendant ainsi les neutralisations beaucoup plus difficiles.
Connexion à AISURU et infrastructure partagée
Des preuves lient Kimwolf au botnet AISURU, connu pour ses attaques DDoS record :
- Les deux réseaux de zombies ont coexisté sur les mêmes appareils infectés entre septembre et novembre 2025.
- Les similitudes entre les packages APK et les certificats de signature de code (« John Dinglebert Dinglenut VIII VanSack Smith ») suggèrent une origine de développement commune.
- Un serveur de téléchargement (93.95.112[.]59) a confirmé la présence de scripts faisant référence aux APK de Kimwolf et AISURU.
Cette relation laisse supposer qu'un seul groupe de pirates informatiques pourrait exploiter les deux réseaux de bots afin de maximiser leur portée et d'échapper à la détection.
Capacités d’attaque et monétisation
Kimwolf prend en charge 13 méthodes DDoS distinctes via UDP, TCP et ICMP, ciblant des pays comme les États-Unis, la Chine, la France, l'Allemagne et le Canada. Fait notable, plus de 96 % des commandes émises visent à utiliser des nœuds infectés comme serveurs proxy, ce qui indique une forte motivation lucrative.
Les composants supplémentaires déployés sur les appareils compromis comprennent :
- Client de commandes basé sur Rust – construit un réseau proxy
- Le kit de développement logiciel ByteConnect permet de monétiser le trafic IoT pour les développeurs et les propriétaires d'appareils.
- Le chiffrement TLS sécurise toutes les communications, tandis que les données sensibles concernant les serveurs C2 et les résolveurs DNS sont également chiffrées, ce qui renforce la discrétion opérationnelle.
Le contexte plus large des botnets géants
Depuis l'apparition de Mirai en 2016, les botnets IoT géants ont considérablement évolué. Les premières versions ciblaient principalement les routeurs haut débit et les caméras, mais les botnets modernes tels que Badbox, Bigpanzi, Vo1d et Kimwolf se concentrent de plus en plus sur les téléviseurs connectés et les boîtiers TV, ce qui reflète l'intérêt croissant des attaquants pour les appareils grand public à large bande passante.
