L'équipe Black Lotus Labs de Lumen Technologies a déclaré qu'elle acheminait le trafic vers plus de 550 nœuds de commande et de contrôle (C2) associés au botnet AISURU/Kimwolf depuis début octobre 2025.
AISURU et son homologue Android Kimwolf sont devenus l'un des plus grands botnets de mémoire récente, capables d'inciter les appareils asservis à se lancer dans des attaques par déni de service distribué (DDoS) et de relayer le trafic malveillant vers les services proxy résidentiels.
Des détails sur Kimwolf sont apparus le mois dernier lorsque QiAnXin XLab a publié une analyse approfondie du malware, qui transforme les appareils compromis (principalement des appareils de streaming Android TV non autorisés) en un proxy résidentiel en fournissant un kit de développement logiciel (SDK) appelé ByteConnect, soit directement, soit via des applications sommaires qui y sont préinstallées.
Le résultat net est que le botnet s'est étendu pour infecter plus de 2 millions d'appareils Android avec un service Android Debug Bridge (ADB) exposé par tunneling via des réseaux proxy résidentiels, permettant aux acteurs malveillants de compromettre une large gamme de décodeurs TV.
Un rapport ultérieur de Synthient a révélé que les acteurs de Kimwolf tentaient de décharger la bande passante proxy en échange d'argent initial.
Black Lotus Labs a déclaré avoir identifié en septembre 2025 un groupe de connexions SSH résidentielles provenant de plusieurs adresses IP canadiennes sur la base de son analyse du backend C2 pour Aisuru à 65.108.5.[.]46, avec des adresses IP utilisant SSH pour accéder au 194.46.59[.]169, qui proxy-sdk.14emeliaterracewestroxburyma02132[.]sont.
Il convient de noter que le domaine de deuxième niveau a dépassé Google sur la liste des 100 meilleurs domaines de Cloudflare en novembre 2025, ce qui a incité la société d'infrastructure Web à le supprimer de la liste.
Puis, début octobre 2025, la société de cybersécurité a déclaré avoir identifié un autre domaine C2 : greatfirewallisacensorshiptool.14emeliaterracewestroxburyma02132[.]su – qui a été résolu à 104.171.170[.]21, une adresse IP appartenant au fournisseur d'hébergement basé dans l'Utah, Resi Rack LLC. La société se présente comme un « fournisseur d’hébergement de serveurs de jeux premium ».
Ce lien est crucial, car un récent rapport du journaliste indépendant en sécurité Brian Krebs a révélé comment les personnes derrière plusieurs services proxy basés sur des botnets vendaient leurs warez sur un serveur Discord appelé resi.[.]à. Cela inclut également les cofondateurs de Resi Rack, qui seraient activement impliqués dans la vente de services proxy via Discord depuis près de deux ans.
Le serveur, qui a depuis disparu, appartenait à une personne nommée « d » (évalué comme l'abréviation du pseudo « Dort »), et Snow serait le botmaster.
“Début octobre, nous avons constaté une augmentation de 300 % du nombre de nouveaux robots ajoutés à Kimwolf sur une période de 7 jours, ce qui a marqué le début d'une vague qui a atteint un total de 800 000 robots au milieu du mois”, a déclaré Black Lotus Labs. “Presque tous les robots impliqués dans cette vague ont été trouvés mis en vente sur un seul service proxy résidentiel.”
Il a ensuite été découvert que l'architecture Kimwolf C2 analysait PYPROXY et d'autres services à la recherche d'appareils vulnérables entre le 20 octobre 2025 et le 6 novembre 2025, un comportement expliqué par l'exploitation par le botnet d'une faille de sécurité dans de nombreux services proxy qui lui permettait d'interagir avec les appareils sur les réseaux internes des points de terminaison proxy résidentiels et de supprimer les logiciels malveillants.
Ceci, à son tour, transforme l'appareil en un nœud proxy résidentiel, faisant apparaître son adresse IP publique (attribuée par le fournisseur de services Internet) à louer sur le site d'un fournisseur proxy résidentiel. Les acteurs de la menace, tels que ceux à l'origine de ces botnets, louent ensuite l'accès au nœud infecté et l'utilisent comme une arme pour analyser le réseau local à la recherche d'appareils sur lesquels le mode ADB est activé afin de se propager davantage.
“Après une route nulle réussie [in October 2025]nous remarquons que le domaine greatfirewallisacensorshiptool a été déplacé vers 104.171.170[.]201, une autre adresse IP de Resi Rack LLC”, a noté Black Lotus Labs. “Lorsque ce serveur a été mis en ligne, nous avons constaté un pic de trafic important avec 176.65.149.[.]19:25565, un serveur utilisé pour héberger leurs logiciels malveillants. “C'était sur un ASN commun qui était utilisé par le botnet Aisuru en même temps.”
La divulgation intervient dans le contexte d'un rapport Chawkr détaillant un réseau proxy sophistiqué contenant 832 routeurs KeeneticOS compromis fonctionnant chez des FAI russes, tels que Net By Net Holding LLC, VladLink et GorodSamara.
« Des empreintes digitales SSH cohérentes et des configurations identiques sur les 832 appareils laissent présager une exploitation automatisée massive, qu'il s'agisse d'informations d'identification volées, de portes dérobées intégrées ou de failles de sécurité connues dans le micrologiciel du routeur », a-t-il déclaré. “Chaque routeur compromis conserve un accès HTTP (port 80) et SSH (port 22).”
Étant donné que ces routeurs SOHO compromis fonctionnent comme des nœuds proxy résidentiels, ils donnent aux acteurs malveillants la possibilité de mener des activités malveillantes en se fondant dans le trafic Internet normal. Cela illustre comment les adversaires exploitent de plus en plus les appareils grand public comme vecteurs d’attaques à plusieurs étapes.
« Contrairement aux adresses IP des centres de données ou aux adresses de fournisseurs d'hébergement bien connus, ces points de terminaison résidentiels fonctionnent sous le radar de la plupart des listes de réputation des fournisseurs de sécurité et des sources de renseignements sur les menaces », a noté Chawkr.
“Sa classification résidentielle légitime et sa réputation IP propre permettent au trafic malveillant de se faire passer pour une activité de consommateur ordinaire, évitant ainsi les mécanismes de détection qui signaleraient immédiatement les demandes provenant d'une infrastructure d'hébergement suspecte ou de services proxy connus.”
