Le département américain de la Justice (DoJ) a annoncé jeudi la perturbation de l’infrastructure de commande et de contrôle (C2) utilisée par plusieurs botnets de l’Internet des objets (IoT) comme AISURU, Kimwolf , JackSkid et Mossad dans le cadre d’une opération de police autorisée par un tribunal.

Cette initiative a également vu les autorités canadiennes et allemandes cibler les opérateurs à l’origine de ces réseaux de zombies, avec l’aide de plusieurs entreprises du secteur privé, dont Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B et QiAnXin XLab, qui ont participé aux efforts d’enquête.

« Les quatre réseaux de zombies ont lancé des attaques par déni de service distribué (DDoS) ciblant des victimes dans le monde entier », a déclaré le ministère de la Justice . « Certaines de ces attaques ont atteint environ 30 térabits par seconde, ce qui constitue un record. »

Dans un rapport publié le mois dernier, Cloudflare a attribué AISURU/Kimwolf à une attaque DDoS massive de 31,4 Tbps survenue en novembre 2025 et qui n’a duré que 35 secondes. Vers la fin de l’année dernière, ce botnet aurait également mené des attaques DDoS hypervolumétriques d’une taille moyenne de 3 milliards de paquets par seconde (Bpps), soit 4 Tbps, et 54 millions de requêtes par seconde (Mrps).

Le journaliste indépendant spécialisé en sécurité, Brian Krebs, a également identifié l’administrateur de Kimwolf : Jacob Butler (alias Dort), un Canadien de 23 ans originaire d’Ottawa. Butler a déclaré à Krebs qu’il n’utilisait plus le pseudonyme Dort depuis 2021 et a affirmé qu’une personne usurpait son identité après avoir piraté son ancien compte.

Butler a également déclaré : « Il reste la plupart du temps à la maison et aide sa mère aux tâches ménagères car il a des difficultés liées à l’autisme et aux interactions sociales. » Selon Krebs , l’autre principal suspect est un adolescent de 15 ans résidant en Allemagne. Aucune arrestation n’a été annoncée.

Le réseau de zombies a enrôlé plus de 2 millions d’appareils Android, principalement des téléviseurs Android de marques inconnues et compromis. Au total, on estime que les quatre réseaux de zombies ont infecté au moins 3 millions d’appareils dans le monde, tels que des enregistreurs vidéo numériques, des webcams ou des routeurs Wi-Fi, dont des centaines de milliers aux États-Unis.

« Les botnets Kimwolf et JackSkid sont accusés de cibler et d’infecter des appareils traditionnellement protégés par un pare-feu. Ces appareils infectés étaient ensuite pris au piège par les opérateurs des botnets », a déclaré le département de la Justice. « Ces opérateurs utilisaient alors un modèle de cybercriminalité à la demande pour vendre l’accès aux appareils infectés à d’autres cybercriminels. »

Ces appareils infectés ont ensuite été utilisés pour mener des attaques DDoS contre des cibles d’intérêt dans le monde entier. Selon les documents judiciaires, les quatre variantes du botnet Mirai auraient émis des centaines de milliers de commandes d’attaques DDoS.

• AISURU -> 200 000 commandes d’attaque DDoS
• Kimwolf – >25 000 commandes d’attaques DDoS
• JackSkid – >90 000 commandes d’attaques DDoS
• Mossad – >1 000 commandes d’attaques DDoS

« Kimwolf a représenté un changement fondamental dans le fonctionnement et l’expansion des botnets. Contrairement aux botnets traditionnels qui analysent l’Internet ouvert à la recherche d’appareils vulnérables, Kimwolf a exploité un nouveau vecteur d’attaque : les réseaux de proxy résidentiels », a déclaré Tom Scholl, vice-président et ingénieur distingué chez AWS, dans une publication partagée sur LinkedIn.

« En infiltrant les réseaux domestiques via des appareils compromis — notamment des boîtiers TV en streaming et d’autres objets connectés — le botnet a accédé aux réseaux locaux généralement protégés des menaces externes par les routeurs domestiques. »

Dans un communiqué transmis à The Hacker News, Lumen Black Lotus Labs a annoncé avoir neutralisé près de 1 000 serveurs C2 utilisés par AISURU, puis par Kimwolf. Selon les données recueillies par cette entreprise de cybersécurité, JackSkid a fait en moyenne plus de 150 000 victimes par jour durant les deux premières semaines de mars 2026, atteignant 250 000 le 8 mars. Le Mossad, quant à lui, a enregistré en moyenne plus de 100 000 victimes par jour durant la même période.

« Le problème, c’est qu’il existe tellement d’appareils vulnérables que deux choses se sont produites : premièrement, Kimwolf s’est révélé incroyablement résistant », a déclaré Ryan English, chercheur en sécurité chez Black Lotus Labs (Lumen). « Deuxièmement, de nombreux nouveaux botnets ont commencé à imiter la technique d’exploitation de cette vulnérabilité pour se développer très rapidement. »

Akamai a déclaré que les botnets hypervolumétriques ont généré des attaques dépassant 30 Tbps, 14 milliards de paquets par seconde et 300 Mrps, ajoutant que les cybercriminels ont exploité ces botnets pour lancer des centaines de milliers d’attaques et exiger des paiements d’extorsion de la part des victimes dans certains cas.

« Ces attaques peuvent paralyser l’infrastructure Internet de base, entraîner une dégradation importante des services pour les FAI et leurs clients en aval, et même saturer les services d’atténuation basés sur le cloud à haute capacité », a déclaré la société d’infrastructure Web .