Le botnet Kimwolf a déjà pris le contrôle de 1,8 million de box Android TV et de téléviseurs connectés. Ce dernier s’appuie sur des failles de sécurité pour lancer des attaques DDoS et remonter jusqu’aux réseaux domestiques.
Découvert fin octobre 2025 par des chercheurs en sécurité de XLab, Kimwolf a rapidement été mis sous surveillance. Son domaine de commande et contrôle est même passé devant Google dans le classement de popularité de Cloudflare. Nous rapportions récemment que le botnet Aisuru avait permis d'opérer une attaque DDoS record à 29,7 Tb/s contre Cloudflare en novembre 2025. Selon les chercheurs, Kimwolf est finalement une évolution d'Aisuru.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Aisuru refait surface sous une nouvelle forme
Les deux botnets seraient en effet étroitement liés. Le 8 décembre 2025, XLab a capturé un script sur un serveur de téléchargement (93.95.112.59) hébergeant à la fois Kimwolf et Aisuru. Les deux familles de malwares partagent la même infrastructure de commande, utilisent des certificats de signature identiques et ont coexisté sur les mêmes appareils infectés entre septembre et novembre 2025. Les développeurs ont visiblement décidé de refondre Aisuru sous une nouvelle forme pour échapper aux systèmes de détection. Il faut qu'en comparaison à l'écosystème des objets connectés traditionnels, les appareils sur Android disposent de protections plus matures.
Le malware utilise DNS over TLS (DoT), un protocole qui chiffre les requêtes DNS transitant par le port 853. Concrètement, lorsqu'un appareil infecté cherche à contacter son serveur de contrôle, il interroge des serveurs DNS publics comme 8.8.8.8 ou 1.1.1.1 via ce canal chiffré. Cela permet donc de rendre la communication invisible aux outils de surveillance réseau classiques. Le botnet authentifie ses commandes par signatures numériques à courbes elliptiques (ECDSA), afin d'empêcher toute tentative de prise de contrôle par des équipes de sécurité.
Face aux démantèlements successifs de son infrastructure, Kimwolf a adopté le 12 décembre 2025 une technique baptisée EtherHiding. Le malware récupère désormais les adresses IP de ses serveurs depuis des domaines ENS (Ethereum Name Service) stockés sur la blockchain Ethereum. Avec cette approche décentralisée, il devient presque impossible de démanteler l'infrastructure.
Les box internet sont aussi vulnérables
Le chercheur en sécurité Benjamin Brundage s’est penché sur la façon dont Kimwolf parvient à remonter jusque derrière nos box Internet. Les opérateurs du botnet détournent des services de proxy "résidentiels", normalement utilisés pour faire transiter du trafic comme s’il venait de connexions grand public, afin de passer outre la couche NAT de la box qui est censée isoler le réseau du foyer.
Ces services sont pourtant conçus pour bloquer l’accès aux adresses privées. Mais M. Brundage a montré qu’en jouant simplement sur des enregistrements DNS pointant vers des adresses comme 192.168.0.1 ou 0.0.0.0, il devenait possible de viser directement les appareils derrière la box, comme si l’attaquant se trouvait déjà sur le réseau local.
Le fournisseur de services de proxy IPIDEA était principalement visé par Kimwolf. L'entreprise a depuis corrigé cette vulnérabilité en bloquant la résolution DNS vers les plages IP internes et en filtrant les ports à haut risque. Entre le 19 et le 22 novembre, Kimwolf a démontré sa puissance en envoyant 1,7 milliard de commandes DDoS en seulement trois jours, ciblant des adresses IP réparties aux États-Unis, en Chine, en France, en Allemagne et au Canada. Les experts estiment sa capacité d'attaque proche de 30 Tb/s.
Source : KrebsOnSecurity
