Les forces de l'ordre néerlandaises, en collaboration avec le Centre national de cybersécurité (NCSC), ont annoncé avoir démantelé un botnet d'envergure mondiale, comprenant plus de 17 millions d'appareils. L'infrastructure de commande et de contrôle reposait sur 200 serveurs hébergés aux Pays-Bas.
L'opération a été déclenchée à la suite du signalement de ce vaste réseau par un chercheur en sécurité. Les serveurs ont été saisis chez un fournisseur d'hébergement, puis mis hors ligne par celui-ci, qui a constaté leur utilisation à des fins criminelles.
Liens présumés avec un service proxy russe
Selon les informations concordantes de plusieurs médias, ce botnet serait associé à ASOCKS, une société russe spécialisée dans les services de proxy résidentiels. Ces services permettent à leurs clients de masquer leur localisation ou leur identité en faisant transiter leur trafic Internet par des appareils tiers. De tels proxies sont fréquemment utilisés pour des activités illicites, comme la réalisation d'attaques par déni de service distribué (DDoS), l'hébergement de serveurs de commande et de contrôle de botnets, la mise en œuvre d'opérations de hameçonnage ou encore l'extraction de contenus de sites web.
Cependant, aucune confirmation officielle indépendante de ce lien n'a été apportée au moment de la publication de ces informations. Les sources interrogées par différents médias n'ont pas obtenu de réponse de la part d'ASOCKS.
Précédents et méthodes d'infection
Cette affaire rappelle des révélations antérieures. En 2024, une entreprise de sécurité avait déjà mis en évidence des indices reliant un botnet nommé Proxylib à ASOCKS. Ces preuves incluaient la correspondance d'adresses IP et de numéros de port entre des appareils infectés par Proxylib et des points d'accès du réseau proxy d'ASOCKS, ainsi que des requêtes émanant d'un appareil de test infecté à destination du site web d'ASOCKS. À l'époque, 28 applications disponibles sur Google Play avaient enrôlé près de 190 000 appareils dans ce réseau proxy sans le consentement des utilisateurs.
Le mode d'infection des 17 millions d'appareils composant le botnet démantelé reste flou. Plusieurs vecteurs d'attaque sont possibles : l'exploitation de vulnérabilités logicielles, l'installation d'applications malveillantes, ou encore l'intégration discrète de ces fonctionnalités proxy dans des applications légitimes, parfois mentionnée en petits caractères dans les conditions d'utilisation, voire non divulguée.
Recommandations pour la protection des utilisateurs
Pour se prémunir contre l'enrôlement dans de tels réseaux, les autorités et les experts recommandent plusieurs mesures de précaution : installer les mises à jour de sécurité dès leur disponibilité, éviter d'utiliser des logiciels ou des appareils qui ne reçoivent plus de correctifs, examiner attentivement les applications avant de les installer, ne conserver que celles qui apportent un bénéfice réel, et supprimer les applications devenues inutiles.
