metamorworks - stock.adobe.com

Actualites

Botnets : la lutte progresse, mais la menace persiste

Des opérations judiciaires ont affecté avec succès les infrastructures de plusieurs botnets utilisés à des fins malveillantes. Mais des découvertes récentes mettent en évidence la créativité des cybercriminels.

Valéry Rieß-Marchive
par
Publié le: 20 mars 2026

L’année 2026 marque une rupture stratégique dans la lutte contre la cybercriminalité. D’un côté, l’opération Synergia III et les actions des autorités américaines démontrent une capacité coordonnée à « disrupter » les plus vastes botnets DDoS IoT. De l’autre, la persistance du botnet KadNap révèle que l’effacement des serveurs centralisés ne suffit plus, face à des architectures décentralisées capables de contourner les défenses périmétriques.

Synergia III : une coopération internationale sans précédent

Menée de juillet 2025 à janvier 2026, l’opération Synergia III a mobilisé les forces de l’ordre de 72 pays pour neutraliser un écosystème criminel multiforme. Cette initiative a permis de mettre hors ligne plus de 45 000 adresses IP malveillantes et de saisir 212 serveurs, conduisant à l’arrestation de 94 individus. Neal Jetton, directeur de la cybercriminalité à Interpol, a souligné : « la cybercriminalité en 2026 est plus sophistiquée et destructrice que jamais, mais l’opération Synergia III témoigne de ce que la coopération mondiale peut accomplir. Interpol reste à l’avant-garde de ce combat, unissant les agences de police et les experts du secteur privé pour démanteler des réseaux criminels, perturber les menaces émergentes et protéger les victimes dans le monde entier ».

Les vecteurs d’attaque visés incluent le phishing de masse, avec plus de 33 000 sites frauduleux identifiés en Chine et à Macao, ainsi que des réseaux d’escroquerie romantique et de vol d’identité opérant au Togo et au Bangladesh. La réussite de cette opération repose sur une synergie inédite entre les agences de renseignement et des partenaires du secteur privé tels que Group-IB, Trend Micro et S2W. Ces acteurs ont transformé des données brutes en renseignement actionnable, permettant aux autorités nationales de mener des interventions ciblées et de perturber efficacement les chaînes de valeur du crime.

Ce n’est pas tout. Le ministère américain de la Justice vient d’annoncer une vaste opération contre les centres de commande de contrôle (C2) des botnets IoT Aisuru, KimWolf, JackSid, et Mossad Internet of Things : « ces quatre botnets ont lancé des attaques par déni de service distribué (DDoS) visant des victimes partout dans le monde. Certaines de ces attaques ont atteint environ 30 térabits par seconde, ce qui constitue un record ».

La persistance de la menace : le botnet KadNap

Malgré ces succès judiciaires, la capacité des attaquants à s’adapter demeure un défi critique. La découverte du botnet KadNap par Lumen Technologies en août 2025 illustre cette évolution vers des architectures résilientes. Contrairement aux botnets traditionnels reposant sur des serveurs C2 centralisés, KadNap utilise une implémentation personnalisée du protocole Kademlia Distributed Hash Table (DHT). Cette technique permet aux attaquants de dissimuler leurs points de contrôle au sein d’un réseau pair à pair décentralisé, rendant les méthodes de surveillance et de blocage classiques inefficaces.

KadNap cible principalement les routeurs Asus, infectant plus de 14 000 appareils, dont 60 % aux États-Unis. Ce réseau est commercialisé via un service proxy nommé Doppelganger, offrant des services d’infrastructure pour des attaques par force brute et des campagnes d’exploitation ciblée.

Bien que Lumen ait bloqué le trafic vers les infrastructures de contrôle identifiées, la structure DHT permet aux attaquants de maintenir une communication robuste en masquant le flux de contrôle dans le bruit du trafic pair à pair légitime. Cette capacité à se reconfigurer et à dissimuler leur infrastructure rend la neutralisation du botnet extrêmement difficile sans une approche de défense de réseau profond. Les analystes de Lumen observent que « l’utilisation innovante du protocole DHT permet au malware d’établir des canaux de communication robustes difficiles à perturber en se cachant dans le bruit du trafic pair à pair légitime ».

Pour approfondir sur Menaces, Ransomwares, DDoS