Les États-Unis, l’Allemagne et le Canada annoncent avoir frappé l’infrastructure de plusieurs des botnets DDoS les plus actifs du moment. Parmi eux, Aisuru et KimWolf, deux noms qui ont rythmé ces derniers mois au gré d’attaques massives, d’une activité difficile à contenir et de records qui ont fini par banaliser des volumes autrefois exceptionnels.
Encore inconnus au bataillon il y a quelques mois, Aisuru et KimWolf se sont imposés en un temps record comme deux figures particulièrement représentatives de l’escalade DDoS en cours, en s’appuyant sur une infrastructure mouvante et un vivier d’équipements compromis intarissable. L’annonce d’une opération conjointe menée par les États-Unis, le Canada et l’Allemagne pourrait toutefois changer la donne, au moins provisoirement, les autorités ayant confirmé la neutralisation d’une partie des infrastructures C2 utilisées par ces deux botnets, ainsi que par JackSkid et Mossad, deux autres réseaux accusés d’avoir lancé des milliers d’attaques contre des cibles dans le monde entier.
Une opération coordonnée pour viser les centres nerveux de quatre botnets majeurs
Dans un communiqué relayé par le Department of Justice, les autorités ont expliqué avoir saisi ou perturbé des serveurs virtuels, des noms de domaine et d’autres éléments utilisés pour piloter les botnets Aisuru, KimWolf, JackSkid et Mossad. En clair, l’opération a ciblé l’infrastructure de commande qui permet aux opérateurs de garder la main sur les appareils compromis et de lancer de nouvelles offensives à distance, sans laquelle un botnet perd une partie de sa capacité à se coordonner, à se redéployer vite et à monétiser son activité.
D’après les documents judiciaires cités par les autorités états-uniennes, Aisuru aurait émis plus de 200 000 commandes DDoS, KimWolf plus de 25 000, JackSkid plus de 90 000 et Mossad plus de 1 000. Mis bout à bout, ces chiffres donnent une idée assez vertigineuse du niveau d’industrialisation atteint par ces réseaux. On ne parle plus ici d’outils opportunistes mobilisés à l’occasion, mais d’infrastructures exploitées à grande échelle, avec un rythme d’utilisation soutenu et une logique de service bien rodée. Le ministère de la Justice US a en outre affirmé que l’ensemble aurait compromis plus de 3 millions d’appareils connectés, parmi lesquels des caméras, des enregistreurs vidéo numériques et des routeurs Wi-Fi, dont une partie importante se trouve aux États-Unis.
L’autre information importante tient au modèle économique mis en avant par l’enquête. L’accès à ces botnets aurait été vendu à d’autres cybercriminels selon une logique de cybercrime-as-a-service, ce qui permettait à des tiers de louer une puissance d’attaque déjà disponible au lieu de construire leur propre infrastructure. Un dispositif qui tire toute sa force de sa simplicité : les opérateurs infectent, enrôlent, entretiennent et déplacent les machines compromises, puis commercialisent leur capacité de nuisance à la demande. Dans certains cas, ces attaques servaient aussi à appuyer des tentatives d’extorsion, les victimes étant poussées à payer pour faire cesser des offensives capables de dégrader fortement leurs services ou de les rendre inaccessibles.
Ce coup de filet n’a donc rien d’anecdotique, puisqu’il s’attaque à une chaîne complète, depuis les domaines et serveurs utilisés pour le pilotage jusqu’aux ressources techniques qui permettaient de maintenir l’activité et d’en tirer profit.
Aisuru et KimWolf, ou l’escalade DDoS devenue un casse-tête permanent
Depuis des mois, Aisuru et KimWolf défraient la chronique DDoS à coups de campagnes massives et de records en série. Aisuru, surtout, s’est imposé comme l’un des réseaux les plus offensifs du moment, au fil d’attaques qui ont fait grimper les compteurs à une vitesse presque absurde. Fin janvier, Cloudflare revenait encore sur une offensive stoppée le 19 décembre 2025 et attribuée au botnet, dont l’un des pics a culminé à 31,4 Tb/s au niveau réseau et à plus de 200 millions de requêtes HTTP par seconde. Quelques semaines plus tôt, le même ensemble était déjà associé à un autre record de 29,7 Tb/s, tandis que Microsoft évoquait à l’automne une attaque mesurée à 15,72 Tb/s, portée par environ 500 000 adresses IP et attribuée au même botnet.
Des chiffres impressionnants, évidemment, mais qui inquiètent presque moins par leur ampleur que par leur récurrence, et par la manière dont ce niveau de puissance s’est progressivement imposé comme une hypothèse de travail pour les acteurs chargés de l’atténuation. Aisuru n’a pas seulement signé une attaque hors norme dans un moment exceptionnel, il s’est inscrit dans une séquence beaucoup plus large, faite de rafales courtes, de salves répétées, de campagnes hyper-volumétriques concentrées sur quelques minutes, parfois moins, avec une capacité constante à déborder rapidement les services d’atténuation ou à en tester les limites.
C’est dans ce contexte déjà ultra-tendu qu’a émergé KimWolf, déclinaison d’Aisuru spécialisée dans la compromission de boîtiers Android TV et de téléviseurs connectés, adossée à une infrastructure étroitement liée à celle du botnet principal. En janvier, Lumen expliquait avoir vu le botnet monter très vite en puissance à l’automne, au moment où apparaissaient de nouveaux domaines et serveurs de commande liés à cet écosystème. Les chercheurs ont bien tenté d’en perturber l’infrastructure en neutralisant au fil des semaines des centaines d’instances C2, mais sans parvenir à enrayer durablement sa progression. D’un blocage à l’autre, de nouveaux relais réapparaissaient en quelques heures, conférant à cette lutte des allures de travail de sape sans fin.
L’opération annoncée cette semaine pourrait donc changer provisoirement l’équilibre du rapport de force, en frappant plus largement l’infrastructure qui permettait à ces botnets de se réorganiser à grande vitesse. Pour autant, aussi important soit-elle, elle n’effacera pas d’un trait le stock d’équipements déjà compromis. Il perturbe, désorganise, ralentit, complique la reprise en main, mais il ne règle pas à lui seul le problème de fond, qui tient toujours à la masse d’objets connectés insuffisamment sécurisés.
Source : Department of Justice
