Le FBI a annoncé le 18 septembre avoir mené une vaste opération policière pour démanteler un botnet constitué de plus de 260 000 appareils, principalement aux Etats-Unis (47%) et au Vietnam (8%), mais aussi dans 18 autres pays. La France se classe au dixième rang des nations les plus touchées, avec 5600 appareils infectés et contrôlés, derrière le Royaume-Uni (8500) et l’Inde (5800).
Un réseau constitué de routeurs, d’enregistreurs vidéo et de serveurs
Ce botnet, nommé “Raptor Train”, a été utilisé pour mener différentes actions de reconnaissance contre des organisations militaires, universitaires, industrielles et informatiques, ainsi qu’envers des agences gouvernementales et des fournisseurs télécoms, majoritairement aux Etats-Unis et à Taïwan. Les appareils ont vraisemblablement été infectés par des cybercriminels affiliés à l’Etat chinois, travaillant pour Integrity Technology Group, une société basée à Pékin et plus connue sous le nom de Flax Typhoon.
Dans leur rapport, les chercheurs de la société américaine de télécoms Lumen Technologies indiquent que le botnet était à la fois constitué de routeurs SOHO (des routeurs de bureau, commercialisés pour le grand public), d’enregistreurs vidéo réseau (NVR) et numérique (DVR), de caméras IP et de serveurs de stockage en réseau (NAS). “Ceci en fait l’un des plus grands botnets IoT parrainés par l’Etat chinois découverts à ce jour”, a déclaré l’équipe Black Lotus Labs de Lumen Technologies. Les chercheurs ont observé quatre campagnes d’expansion organisées par Raptor Train, ayant pour objectif d’augmenter sa force de frappe en infectant des milliers de nouveaux appareils.
Le FBI prend le contrôle du botnet, les hackers répliquent par une attaque DDoS
Le botnet a été formé en mai 2020, atteignant jusqu’à 60 000 appareils contrôlés en simultané en juin 2023. Il a notamment été exploité en décembre dernier pour des opérations d’analyse ciblant l’armée américaine, le gouvernement américain, les fournisseurs informatiques et bases de défense. Les chercheurs ont aussi observé une tentative de perturbation d’une agence gouvernementale au Kazakhstan. Certains appareils infectés sont également impliqués dans des tentatives de cyberattaques contre les serveurs Atlassian Confluence et des appareils Ivanti.
Afin de perturber le bon fonctionnement du botnet, le FBI a été autorisé par la justice américaine à prendre le contrôle de son infrastructure. Une opération périlleuse, au cours de laquelle Flax Typhoon a essayé de migrer ses appareils infectés vers de nouveaux serveurs et a mené une attaque par déni de service (DDoS) contre le FBI.
Le recours aux botnets est une pratique courante pour les cybercriminels affiliés à l’Etat chinois. Fin janvier, le FBI avait déjà mis la main sur un botnet du gang chinois Volt Typhoon. Ce dernier avait piraté des centaines de routeurs Cisco et NetGear “en fin de vie” aux Etats-Unis, qui ne supportaient plus les correctifs de sécurité plus récents.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
