Devis de remise multi-licences
Données concernant les menaces Botnets Campagne du botnet Kimwolf

Campagne du botnet Kimwolf

Par Mezo en Botnets
Se traduisent par :

Des chercheurs en sécurité ont découvert un vaste botnet ciblant Android, baptisé Kimwolf, qui a compromis plus de deux millions d'appareils en exploitant des réseaux proxy résidentiels. Ce logiciel malveillant transforme le matériel informatique grand public en une plateforme d'attaque mondiale, acheminant discrètement le trafic malveillant et permettant des attaques par déni de service distribué (DDoS) à grande échelle. Les observations montrent qu'environ 12 millions d'adresses IP uniques sont concernées chaque semaine, ce qui souligne l'ampleur considérable de cette opération.

Origines, évolution et liens avec AISURU

Kimwolf a fait l'objet d'une première analyse publique en décembre 2025 , lorsque les enquêteurs ont identifié des liens techniques et infrastructurels étroits avec un autre botnet appelé AISURU. Des éléments indiquent que Kimwolf est actif depuis au moins août 2025 et représente une évolution d'AISURU sous Android. Les chercheurs sont de plus en plus convaincus que ce botnet a alimenté plusieurs campagnes DDoS record observées vers la fin de l'année dernière.

Empreinte mondiale de l’infection et dispositifs ciblés

Bien que Kimwolf soit présent dans le monde entier, les infections sont fortement concentrées au Vietnam, au Brésil, en Inde et en Arabie saoudite. Une part importante des systèmes compromis sont des téléviseurs connectés et des décodeurs Android non officiels, dont beaucoup sont livrés avec des configurations par défaut non sécurisées.

Au moins 67 % des appareils connectés exposent un service Android Debug Bridge (ADB) non authentifié, les rendant vulnérables au contrôle à distance. Les enquêteurs soupçonnent que nombre de ces produits sont préchargés avec des kits de développement logiciel (SDK) liés aux proxys avant leur mise sur le marché, les intégrant ainsi de facto à des écosystèmes de proxys qui deviennent ensuite des vecteurs de diffusion de logiciels malveillants.

Comment Kimwolf étend et maintient son contrôle

Les opérateurs de Kimwolf s'appuient sur de vastes réseaux de proxys résidentiels pour scruter Internet à la recherche d'appareils Android exécutant des services ADB exposés. Une fois identifié, un logiciel malveillant est installé à distance, transformant l'appareil en relais de trafic et nœud d'attaque. La charge utile principale ouvre un écouteur sur le port 40860 et établit une communication sortante avec 85.234.91[.]247:1337, depuis lequel elle reçoit des commandes opérationnelles.

En décembre 2025, des infections ont été retracées jusqu'à des adresses IP de proxy louées auprès d'IPIDEA, un fournisseur basé en Chine qui se présentait comme le leader mondial des services de proxy IP avec plus de 6,1 millions d'adresses IP renouvelées quotidiennement et 69 000 nouvelles adresses chaque jour. Le 27 décembre, IPIDEA a déployé une mise à jour de sécurité bloquant l'accès aux réseaux locaux et aux ports sensibles après la découverte de preuves indiquant que des attaquants utilisaient des logiciels proxy installés par leurs clients pour accéder aux appareils internes.

L'exposition créée par cette technique a été qualifiée d'inédite par les analystes, plaçant des millions de systèmes grand public directement sur la voie d'une exploitation automatisée.

Monétisation : proxys, charges utiles et attaques payantes

Dès le départ, les motivations financières de Kimwolf étaient claires. Les opérateurs ont commercialisé leur infrastructure de manière agressive, transformant les appareils compromis en actifs générateurs de profits par de multiples canaux :

  • La vente d'accès proxy résidentiel, annoncée à un prix aussi bas que 0,20 $ par Go ou environ 1 400 $ par mois pour une bande passante illimitée, a rapidement attiré de nombreux services proxy.
  • Déploiement de SDK de monétisation secondaires, notamment le SDK Byteconnect de Plainproxies, qui achemine les tâches de proxy payantes d'un serveur de commande vers les appareils infectés via 119 serveurs relais dédiés.
  • L'utilisation abusive du botnet à des fins de cybercriminalité comprend des attaques DDoS à grande échelle et des campagnes de bourrage d'identifiants observées contre les services IMAP et les plateformes en ligne populaires.

La présence de boîtiers TV pré-infectés et l'intégration de kits de développement logiciel (SDK) commerciaux de partage de bande passante suggèrent fortement une collaboration croissante entre les opérateurs de botnets et certains segments de l'économie par proxy.

Mesures défensives et réduction des risques

Pour atténuer des menaces similaires, une action coordonnée est nécessaire à la fois entre les fournisseurs de services et les environnements des utilisateurs finaux :

  • Les réseaux proxy doivent bloquer le trafic destiné aux plages d'adresses RFC 1918, empêchant ainsi les clients externes d'accéder aux réseaux privés internes où résident les appareils des consommateurs.
  • Les organisations et les particuliers doivent désactiver ou restreindre l'accès ADB non authentifié sur les systèmes Android, en particulier sur les appareils embarqués et de type IoT qui sont souvent livrés avec des paramètres par défaut non sécurisés.

Sans ces contrôles, les écosystèmes de proxys résidentiels continueront de fournir une couverture idéale pour le déploiement à grande échelle de logiciels malveillants et l'expansion des botnets.

Tendance

Le plus regardé

Chargement...