
Les pirates de l’État chinois Volt Typhoon n’ont pas réussi à relancer un botnet récemment démantelé par le FBI, qui était auparavant utilisé dans des attaques ciblant des infrastructures critiques à travers les États-Unis.
Avant le démantèlement de KV-botnet, il permettait au groupe de menaces Volt Typhoon (alias Bronze Silhouette) d’intercepter les activités malveillantes via des centaines de petits bureaux/bureaux à domicile compromis à travers les États-Unis pour échapper à la détection.
Cependant, après avoir obtenu une ordonnance du tribunal l’autorisant à démanteler le botnet le 6 décembre, des agents du FBI ont pris le contrôle de l’un de ses serveurs de commande et de contrôle (C2) et ont coupé l’accès des pirates chinois aux appareils infectés (c’est-à-dire les routeurs Netgear ProSAFE en fin de vie, Cisco rv320 et DrayTek Vigor et les caméras IP Axis).
Deux jours plus tard, Volt Typhoon a commencé à scanner Internet à la recherche d’appareils plus vulnérables pour détourner et reconstruire le botnet démantelé.
Selon un rapport de l’équipe Black Lotus Labs de Lumen Technologies, les auteurs de la menace ont mené une attaque à grande échelle sur 3 045 appareils, dont un tiers de tous les routeurs ProSAFE NetGear exposés en ligne dans le monde. Sur ces tentatives, ils ont réussi à infecter 630 appareils
« Nous avons observé une période brève mais concentrée d’activité d’exploitation début décembre 2023, alors que les acteurs de la menace tentaient de rétablir leur structure de commandement et de contrôle (C2) et de remettre le botnet en état de marche », a déclaré l’équipe de Black Lotus Labs de Lumen Technologies.
« Sur une période de trois jours, du 8 au 11 décembre 2023, les opérateurs de botnet KV ont ciblé environ 33% des appareils NetGEAR ProSAFE sur Internet pour les réexploiter, soit un total de 2 100 appareils distincts. »

Cependant, malgré leurs efforts concertés, Black Lotus Labs a contrecarré les tentatives des pirates chinois de relancer le botnet en acheminant par null l’ensemble de la flotte de serveurs C2 et de charge utile de l’attaquant pendant un mois, entre le 12 décembre et le 12 janvier.
Depuis que la dernière balise KV-botnet a été observée le 3 janvier, aucun autre serveur C2 n’a été activé.
« L’absence d’un serveur C2 actif combinée à l’action autorisée par le tribunal du FBI contre le botnet KV et le routage nul persistant de Lumen Technologies de l’infrastructure de cluster KV actuelle et nouvelle fournit une bonne indication que le cluster d’activités KV n’est plus actif efficacement », a déclaré Black Lotus Labs.
Volt Typhoon viole des infrastructures critiques américaines depuis au moins la mi-2021, en utilisant un cluster KV-botnet de pare-feu Fortinet FortiGate compromis (actif jusqu’en août 2023) comme tremplin pour leurs attaques.
La liste des organisations que les cyberespions chinois ont piratées et ciblées comprend des organisations militaires américaines, des fournisseurs de services de télécommunication et d’Internet, ainsi qu’une entreprise européenne d’énergie renouvelable.
Il y a une semaine, la CISA et le FBI ont exhorté les fabricants de routeurs SOHO à s’assurer que leurs appareils sont sécurisés contre les attaques en cours de Volt Typhoon en utilisant des paramètres de configuration sécurisés par défaut et en éliminant les failles de l’interface de gestion Web pendant le développement.