Opération conjointe des agences de renseignement : démantèlement de l'infrastructure C2 des botnets Aisuru, KimWolf, JackSkid et Mossad
Les agences de renseignement américaines, canadiennes et allemandes ont démantelé l'infrastructure de commandement et de contrôle (C2) des botnets Aisuru, KimWolf, JackSkid et Mossad. Ces réseaux d'appareils IoT ont généré des attaques DDoS atteignant des vitesses de jusqu'à 30 Tbps, infectant plus de 3 millions d'appareils dans le monde entier. Les opérateurs ont été arrêtés, et les domaines et serveurs saisis.
Ampleur de la menace et cibles des attaques
Les botnets ciblaient des équipements IoT : enregistreurs vidéo numériques, webcams, routeurs. Ils contournaient les pare-feu, infectant des appareils traditionnellement sécurisés. Les opérateurs vendaient l'accès aux machines zombies sur le marché noir, entraînant des centaines de milliers d'attaques DDoS sur des cibles mondiales.
- Aisuru : plus de 200 000 commandes DDoS émises.
- KimWolf : environ 25 000 commandes, axé sur les appareils protégés.
- JackSkid : 90 000 commandes, profil similaire.
- Mossad : plus de 1 000 commandes.
Les attaques ont visé des adresses IP dans le réseau du Pentagone, causant aux victimes des pertes de dizaines de milliers de dollars pour l'atténuation et la récupération.
Détails techniques de l'infrastructure
Les serveurs C2 étaient hébergés sur des domaines enregistrés aux États-Unis et des VPS. La structure du Département de la Défense des États-Unis (DC3) a procédé à des perquisitions sous mandat. Plus de 3 millions d'appareils infectés dans le monde, des centaines de milliers aux États-Unis. Les botnets utilisaient des protocoles standards de gestion IoT pour coordonner le trafic.
En mars 2026, l'ampleur a culminé : les opérateurs monétisaient l'accès, ciblant des serveurs et des PC dans le monde entier. Les inondations DDoS ont atteint un record de 30 Tbps, submergent les cibles par des attaques volumétriques.
Étapes de l'opération de neutralisation
- Identification des domaines et serveurs C2 par analyse du trafic.
- Coopération internationale : arrestations au Canada et en Allemagne.
- Saisie d'actifs aux États-Unis sous ordonnance judiciaire.
- Analyse des journaux : confirmation des commandes d'attaque et des ventes d'accès.
Les documents judiciaires révèlent la chaîne : de l'infection IoT à la location d'appareils zombies. Il s'agit d'une mesure préventive contre l'escalade des menaces.
Enseignements principaux
- Le démantèlement du C2 a stoppé plus de 300 000 commandes DDoS de ces réseaux.
- Focus sur l'IoT : les vulnérabilités des routeurs et caméras restent critiques.
- La coopération États-Unis-Canada-Allemagne est un modèle pour les opérations mondiales.
- Pertes des victimes : dizaines de milliers de dollars en protection DDoS.
- Le record de 30 Tbps met en lumière l'évolution des botnets.
Implications pour les professionnels de l'IT
Les développeurs et administrateurs IoT doivent renforcer le durcissement : mises à jour du firmware, segmentation réseau, surveillance du trafic anomal. Les botnets montrent une résilience aux pare-feu — implémentez l'analyse comportementale et les modèles zero-trust. L'opération met en lumière les risques de monétisation des appareils zombies sur les marchés sombres.
— Editorial Team
Aucun commentaire pour le moment.