Après une année 2025 marquée par l’escalade des attaques DDoS attribuées à Aisuru, sa déclinaison Kimwolf prend de l’ampleur. Depuis l’automne, Lumen indique avoir neutralisé des centaines de serveurs de commande liés aux deux botnets, levant au passage le voile sur les rouages d’un écosystème largement alimenté par les proxys résidentiels.
Aisuru s’est imposé en 2025 comme l’un des botnets les plus puissants du moment, capable de lancer des attaques DDoS qui se comptent en dizaines de térabits par seconde. Depuis peu, Kimwolf, sa déclinaison orientée Android, cible plus spécifiquement des boîtiers Android TV et certains téléviseurs connectés, mais s’inscrit dans la même dynamique et s’appuie d’ailleurs sur des instances étroitement liées à celles d’Aisuru. C’est ce que vient de confirmer Black Lotus Labs, l’équipe de recherche de Lumen, dans un état des lieux détaillé de cette infrastructure et de sa progression depuis septembre dernier. L’opérateur y explique également avoir bloqué le trafic vers plus de 550 serveurs de commande utilisés par Aisuru et Kimwolf, une stratégie pensée pour gêner leur pilotage et limiter leur capacité à se réorganiser.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
De l’ombre d’Aisuru à l’émergence de Kimwolf
Pour comprendre comment Kimwolf a émergé et pourquoi Lumen a décidé d’intervenir, il faut revenir aux événements de septembre 2025. Alors que les autorités états-uniennes viennent de démanteler RapperBot, les chercheurs de Black Lotus Labs constatent que le nombre de machines communiquant avec les serveurs de commande d’Aisuru grimpe très vite. En quelques jours, la moyenne passe d’environ 50 000 à près de 200 000 bots par jour. En analysant ces flux, ils repèrent un serveur central et des connexions SSH provenant d’adresses IP résidentielles, notamment au Canada, qu’ils signalent aux autorités.
Début octobre, l’infrastructure du botnet commence à évoluer, avec l’apparition d’un nouveau domaine associé à un hébergeur déjà connu pour ses services de proxy résidentiel. En creusant l’affaire, Black Lotus Labs tombe sur un serveur distribuant un fichier malveillant, qu’ils récupèrent deux fois dans la même journée. La première fois, le fichier pointe vers des serveurs de commande d’Aisuru, mais huit heures plus tard, le même serveur propose un fichier différent pointant vers le nouveau domaine. Sans le savoir, les chercheurs viennent en réalité de détecter les premiers signes de ce qui deviendra Kimwolf, dans une phase où l’infrastructure reste encore étroitement liée à celle d’Aisuru.
Dans les jours qui suivent, la croissance de Kimwolf s’accélère de façon spectaculaire, avec une hausse de 300 % du nombre de nouveaux bots en une semaine seulement, portant le total à environ 800 000 machines compromises à la mi-octobre. La plupart de ces nouveaux appareils proviennent directement de services de proxy résidentiels vulnérables, c’est-à-dire des services (ici légitimes) qui utilisent des connexions de particuliers pour relayer du trafic, que le botnet a pu détourner à son avantage pour s’étendre aussi rapidement.
Dans la foulée, les équipes de Black Lotus Labs entreprennent de perturber le botnet en neutralisant ses serveurs de commande dès qu’elles en identifient un nouveau. Mais ce travail de sape, mené avec d’autres acteurs de la cybersécurité, montre à quel point Kimwolf se révèle résilient : à chaque blocage, les opérateurs mettent quelques heures à rétablir de nouvelles instances C2 et à reprendre leurs activités. Malgré cette agilité, les chercheurs auront tout de même réussi à mettre hors circuit plus de 550 serveurs associés à l’ensemble Aisuru/Kimwolf en l’espace de quatre mois.
S’attaquer aux équipements négligés pour réduire le risque
Il n’aura échappé à personne que ce que décrivent les équipes de Black Lotus Labs ressemble à un éternel jeu du chat et de la souris. Neutraliser des serveurs C2 est nécessaire, mais cela ne suffit pas à endiguer un botnet qui puise dans un réservoir d’appareils domestiques faciles à enrôler. En clair, au-delà de la perturbation des infrastructures de commande, il faut aussi tarir le vivier d’appareils vulnérables, donc mettre à jour régulièrement les firmwares des équipements connectés auxquels on ne pense jamais (routeurs, caméras, prises, ampoules, smart TV, etc.).
Par là même, quand vous renouvelez vos appareils, privilégiez les marques réputées pour assurer un vrai suivi logiciel. Au déballage, prenez le temps de supprimer les applis inutiles, de désactiver les accès distants dont vous n’avez pas l’usage, et de les isoler sur un réseau invité quand c’est possible, pour les empêcher d’accéder au reste de votre réseau domestique en cas d’infection.
Source : Black Lotus Labs
