Hyper-volumetric IoT botnets rewrite enterprise resilience rules https://iottechnews.com/news/hyper-volumetric-iot-botnets-rewrite-enterprise-resilience-rules/ #iot #botnets #cloudflare #infosec #cybersecurity #tech #news #technology

#security #cybersecurity #botnets

GreyNoise launches free scanner to check if you're part of a botnet

https://www.bleepingcomputer.com/news/security/greynoise-launches-free-scanner-to-check-if-youre-part-of-a-botnet/

Superbox and other “lifetime free TV” Android boxes are not just a piracy headache. Some of them look a lot like quiet botnet nodes and residential proxy endpoints sitting on your living room shelf.

I broke down how these boxes hijack DNS, join proxy networks, and undermine home and small business networks, plus what to do if you already own one.

🔗 Read the full breakdown: https://www.kylereddoch.me/blog/your-android-tv-box-might-be-a-botnet-farm-without-you-knowing-a-deep-dive/

#CyberSecurity #InfoSec #IoT #AndroidTV #Botnets #HomeNetwork

This tool might be quite handy. It is a web-based checker of you IP is part of botnet activity.

Mine is clean. 🙂

#botnets #itsec

https://check.labs.greynoise.io/

Belgian Police exposed using botnets to manipulate EU data law impact assessment

https://old.reddit.com/r/europe/comments/1p9kxhm/belgian_federal_police_forgot_to_turn_their_vpn/

#HackerNews #BelgianPolice #Botnets #EULaw #DataManipulation #Cybersecurity

GBHackers: New GreyNoise IP Checker Helps Users Identify Botnet Activity. “The newly released GreyNoise IP Check is a simple, web-based tool that allows anyone to instantly verify whether their internet connection is being used by a botnet or a residential proxy network.”

https://rbfirehose.com/2025/11/29/gbhackers-new-greynoise-ip-checker-helps-users-identify-botnet-activity/

Deux (2) exemples concrets de chaînes YouTube actives alimentées par AI pour augmenter les frustrations, attiser les colères, façonner les esprits. Utilise la recette habituelle: complotisme, les peurs, la haine de l'autre, les antivax, affiche des positions extrêmes et il est question de … russes. Tiens donc. #france #genai #youtube #online #web #influence #ideologies #botnets #misinformation #disinformation #scare #complotism #tactics #threats #informatique

⊠ chaîne « ChienSurpris » dénonce les « absurdités bureaucratiques, dérives administratives et mécanismes de spoliation fiscale ».
Vraiment ? Quelques titres de vidéos :
🚨🇷🇺 A COLLECTION OF RUSSIAN INTERFERENCE
🚨8 YEARS OF MACRONISM
🚨URSSAF LEAK COMMISSIONED A TAX AUDIT EVEN THOUGH THEY WERE THE ONES WHO CHEATED!
🚨FRENCH SOCIALIST HYPOCRISY
🚨TESTIMONY ALERT: A victim of a former senior official using chemical sedation
🚨💳 Sick Leave: 🤔 Who pays for the cheats? 💸
…

source: https://www.youtube.com/channel/UCK8pD3pBUrL4K-LuFqm_2Xg

⊠ chaîne « Brest Buzz V » dénonce « les censures » et milite pour des alternatives intéressantes aux media de propagande »
Vraiment ? Quelques titres de vidéos :
Candace Owens dit que la famille Macron a payé quelqu'un pour la faire assassiner.
Démantèlement d'un réseau sophistiqué de diffamation... Les tricheurs sont démasqués !
Quand l'URSSAF joue le joker de la fuite pour éviter que mon histoire ne se propage
There's new information on the law regarding mandatory vaccination
Florian Philippot on the "Brigitte" trials: "We're only at the beginning."
"Macron is a provocation in a suit and tie..." declares Viktor Orban
🇷🇺 Vladimir Poutine a félicité les employés de RT pour le 20e anniversaire de la chaîne

source: https://www.youtube.com/channel/UCYRTHY3tc29Q3_f-dVlJd2g

Caractéristiques: Utilise les émojis habituels (🚨📢…) Présence de titres/prompts en anglais. Vidéos ajoutées sur timing précis. Vidéos « Shorts » anti-datées. Commentaires alimentés par robots pour orienter, élargir et augmenter.

https://winbuzzer.com/2025/11/25/x-feature-accidentally-exposes-foreign-influence-operations-xcxwbn/

New X Feature Accidentally Exposes Foreign Influence MAGA Operations

#SocialMedia #ElonMusk #X #Disinformation #Privacy #Security #Politics #ForeignInfluence #TrustAndSafety #ContentModeration #Botnets #Cybersecurity #ClickFarms

Russia‘s #propaganda #botnets are going all in with their German Bundeswehr anxiety today. They REALLY don‘t want more of that. All of these are fake of course. The last one (next post) is particularly funny. #matryoshka

Russia‘s #propaganda #botnets are going all in with their German Bundeswehr anxiety today. They REALLY don‘t want more of that. All of these are fake of course. The last one (next post) is particularly funny. #matryoshka

Des botnets aux écosystèmes criminels : dix ans d’extension et une transformation profonde de la délinquance

Lorsque j’ai soutenu ma thèse en novembre 2015, je cherchais à définir un modèle pour tous les logiciels malveillants du moment, connectés d’une façon ou d’une autre à leur propriétaire et je défendais en particulier le concept suivant : considérer les botnets non pas comme de simples réseaux de machines compromises, mais comme des ensembles socio-techniques, faits d’acteurs, d’infrastructures, de flux économiques et de contraintes organisationnelles. Cette lecture, qui associe l’analyse technique à une compréhension des dynamiques humaines, conduisait à parler de systèmes plutôt que d’outils isolés, et d’écosystèmes criminels plutôt que de menaces ponctuelles. J’avais également insisté sur la nécessité d’une posture proactive, visant à perturber l’organisation criminelle dans son ensemble — et non seulement ses manifestations visibles.

Dix ans plus tard, cette perspective n’a rien perdu de sa pertinence (Eric Freyssinet, Revue des Mines, 2025). Ce qui a changé, en revanche, c’est l’ampleur du phénomène. Les logiques écosystémiques que l’on observait dans les botnets se sont diffusées à l’ensemble de la cybercriminalité, puis ont essaimé dans certains segments de la criminalité dite « classique ». Pour aller plus loin, on peut lire notamment le livre de Benoît Dupont (La cybercriminalité, approche écosystémique de l’espace numérique, 2024), qui développe la notion de délinquance par projet.

Des cybermenaces aux écosystèmes criminels

À partir des années 2010, la cybercriminalité s’est profondément reconfigurée. Les opérations se sont fragmentées en une multitude de rôles spécialisés : développeurs de malwares, opérateurs d’accès initiaux, gestionnaires d’infrastructures, revendeurs de données, blanchisseurs, fournisseurs de services techniques et comme le décrit Benoît Dupont (ibid.), elle est articulée par un marché de services qui permet de recruter, louer ou remplacer chaque compétence selon les besoins du moment. Cette segmentation, combinée à une forte externalisation, a permis l’émergence de véritables chaînes de valeur (van Wanberg et al., 2017) criminelles, où chaque fonction peut être louée, remplacée ou automatisée.

Cette logique de modularité s’est installée comme norme. Les groupes (Nurse & Bada, 2019) n’exécutent plus l’ensemble de la chaîne : ils sélectionnent, achètent ou combinent des services — hébergement « bulletproof », crypteurs, kits prêts à l’emploi, proxys, accès initiaux, blanchiment. La résilience de ces structures repose précisément sur cette capacité à recomposer rapidement leurs liens lorsqu’un élément est perturbé.

Escroqueries en ligne : l’organisation derrière la masse

Les escroqueries en ligne illustrent parfaitement cette évolution. Elles ne sont plus le fait d’individus isolés, mais d’organisations qui combinent ingénierie sociale, infrastructures numériques, automatisation et logistique financière. Les analyses menées par Europol, l’UNODC et d’autres organismes montrent que ces réseaux fonctionnent comme de véritables entreprises criminelles : recrutement via réseaux sociaux, segmentation des tâches, scripts comportementaux, exploitation de messageries chiffrées, circulation de guides et tutoriels, plateformes internes, et conversion rapide des gains.

Au-delà de la variété des stratagèmes, c’est la structure qui importe : la fraude s’inscrit dans un environnement organisé, modulable et distribué — un écosystème. Et au cœur de cet écosystème, une technique revient systématiquement qui a son propre sous-écosystème, le hameçonnage.

Le hameçonnage : une activité devenue industrielle

Souvent présenté comme une simple manœuvre d’ingénierie sociale, le hameçonnage constitue aujourd’hui l’un des sous-systèmes les plus structurés de la criminalité numérique. Les recherches montrent (Alkhalil et al., 2021) que l’activité repose sur une répartition claire des rôles : conception de kits, développement d’infrastructures d’hébergement furtives, gestion des bases de cibles, automatisation de l’envoi, collecte d’identifiants, revente ou réutilisation des données.

Cette segmentation est soutenue par un marché florissant de phishing-as-a-service (PhaaS). Sur les places de marché criminelles circulent des kits intégrant pages clonées, modules anti-détection, systèmes de cloaking, anti-bot, tableaux de bord de suivi en temps réel, mises à jour automatiques et intégrations vers Telegram ou d’autres messageries.

Et dans le même temps, les botnets tiennent depuis longtemps une place centrale dans cet ensemble (OCDE, 2010) :

1. comme plateformes d’envoi (Zhuang et al, 2008), permettant de diffuser à grande échelle des campagnes de hameçonnage en contournant les dispositifs anti-spam ;
2. comme infrastructures de soutien, hébergeant ou relayant des pages de phishing via des réseaux distribués tels que le fast-flux.

Les opérations judiciaires récentes ont mis en lumière la solidité de ces écosystèmes. Le démantèlement de QakBot, en 2023, a révélé une infrastructure utilisée pour des campagnes de hameçonnage sophistiquées reposant sur le détournement de conversations existantes et la livraison de payloads à d’autres groupes. Emotet, avant lui, avait illustré (CERT-FR, 2021) la capacité d’un réseau à combiner propagation par hameçonnage, services de location d’accès et diffusion de charges malveillantes.

Dans ces exemples, le hameçonnage n’est pas une opération isolée : il est la porte d’entrée d’un système — un maillon essentiel d’un écosystème qui articule outils, infrastructures, compétences et marchés.

Une dynamique qui dépasse le numérique

Cette logique écosystémique dépasse aujourd’hui le périmètre de la cybercriminalité. Le trafic de stupéfiants, notamment, s’est structuré autour de pratiques similaires (UNODC, 2024) : recrutement, segmentation, logistique numérique, utilisation des réseaux sociaux, cryptomonnaies, sous-traitance de tâches techniques ou opérationnelles. Il n’est pas question de dire que ces phénomènes sont identiques, mais d’observer qu’ils partagent des mécanismes organisationnels comparables.

Ainsi, dans un autre rapport de l’UNODC centré sur l’Asie du Sud-Est, l’agence confirme que les criminels ont adopté des technologies avancées — malware, cryptomonnaies, IA générative — pour renforcer leurs capacités, automatiser des tâches, diversifier leurs méthodes et faciliter le blanchiment de sommes massives. Ces innovations leur permettent de déplacer leurs activités entre juridictions, d’adapter continuellement leurs modèles économiques et de contourner plus efficacement les mesures de répression. Ces groupes s’appuient fortement sur des places de marché clandestines, notamment sur Telegram, où s’échangent services, données volées, outils de fraude, solutions de blanchiment et travail forcé. Ces plateformes jouent un rôle central dans l’entretien et l’expansion d’un écosystème criminel transnational particulièrement résilient. Aussi, la taille colossale de cette économie criminelle a entraîné une industrialisation des opérations de fraude. De petits groupes dispersés ont été remplacés par des organisations plus grandes, plus structurées et souvent installées dans des parcs industriels, zones économiques spéciales, casinos ou hôtels, qui servent de bases d’opérations criminelles. Ces sites accueillent plusieurs acteurs différents, chacun menant des activités illicites variées à destination de victimes dans le monde entier.

Des organisations plus nébuleuses : l’exemple de ShinyHunters

Parmi les évolutions récentes, le cas de ShinyHunters, actif depuis 2019, illustre bien la manière dont certains groupes de cybercriminalité s’organisent autour de chaînes de valeur distribuées. Le groupe devient visible par une série de vols massifs de données — notamment Tokopedia, Unacademy, Wattpad ou Nitro PDF — puis par la revente ou l’extorsion de ces bases sur des forums de marché tels que BreachForums.

En 2024, ShinyHunters apparaît au centre de l’affaire Snowflake, dans laquelle les données de plusieurs entreprises — dont Ticketmaster et Santander — ont été exfiltrées à partir de comptes Snowflake compromis. Les analyses publiques indiquent que les attaquants ont utilisé des identifiants volés issus d’infostealers, l’absence de MFA sur certains comptes, puis ont proposé à la vente des téraoctets de données clients.

Depuis 2025, plusieurs travaux de threat-intelligence attribuent également au groupe le vol de données provenant de centaines d’instances Salesforce, via la compromission de jetons OAuth liés à l’outil Drift/Drift Email récupérés dans un dépôt GitHub de Salesloft. Les attaquants revendiquent environ 1,5 milliard d’enregistrements et engagent une campagne d’extorsion. Salesforce a publiquement confirmé l’incident côté fournisseurs tiers, tout en refusant de négocier avec les auteurs.

Les enquêtes judiciaires confirment par ailleurs l’existence d’un écosystème distribué : l’arrestation et la condamnation d’un suspect présenté comme membre du groupe en 2024 n’ont pas mis fin à ses activités, et les arrestations réalisées en France en 2025 autour de l’administration de BreachForums suggèrent l’existence de plusieurs cercles opérant sous la même bannière.

Pour ajouter à la complexité dans l’observation de ces groupes, si ShinyHunters semble bien distinct des groupes comme Lapsus$ ou Scattered Spider, plusieurs analyses soulignent l’existence d’une alliance opportuniste apparue en 2024-2025 sous le nom de Scattered Lapsus$ Hunters (SLH) : un « super-groupe » ou une « marque fédérée » utilisée par différents acteurs, notamment sur Telegram.

Des membres connus de ShinyHunters, Lapsus$, Scattered Spider et The Com ont été arrêtés. À noter que les affiliations multiples ne sont pas indiquées pour préserver la lisibilité (Source : Flare)

Ce type d’organisation — identités mouvantes, absence de hiérarchie stable, capacité à se recomposer malgré les arrestations — confirme la nécessité de considérer ces menaces comme des écosystèmes, où se combinent rôles spécialisés, infrastructures distribuées, accès compromis et marchés de données.

Penser et agir “en écosystème”

Pour les acteurs judiciaires comme pour les chercheurs, cette transformation impose de poursuivre notre adaptation dans la manière d’analyser et de traiter la criminalité :

1. Élaborer une lecture systémique des menaces.
   Une campagne de hameçonnage ou un botnet n’est jamais un phénomène isolé. C’est l’expression d’un système distribué, où chaque action est soutenue par d’autres acteurs, services et infrastructures.
2. Viser les dépendances plutôt que les seuls opérateurs.
   L’efficacité de la réponse tient dans l’identification des intermédiaires, des services loués, des flux techniques et économiques qui rendent l’organisation possible.
3. Perturber les chaînes, pas seulement les symptômes.
   Neutraliser un serveur ou arrêter un individu est souvent insuffisant si l’écosystème peut se recomposer immédiatement. Une action efficace doit cibler les points d’ancrage : hébergement, proxys, prestataires spécialisés, flux financiers, mécanismes de recrutement. C’est ce que permet notamment la répétition des opérations internationales coordonnées comme Endgame.
4. Mobiliser l’interdisciplinarité.
   L’analyse technique doit être combinée à des approches issues de la criminologie, de la psychologie, de l’économie criminelle et de l’analyse de données. C’est l’une des ambitions poursuivies dans le cadre du programme Defmal du PEPR Cybersécurité (atelier du 12 mars 2025).
5. Construire une capacité d’anticipation.
   La proactivité n’est plus un luxe : c’est une condition de l’efficacité. Comprendre les écosystèmes criminels, c’est comprendre où ils peuvent être fragilisés — et agir avant qu’ils ne se reconfigurent. C’est aussi les détecter le plus tôt possible, quand ils se constituent leurs infrastructures et que se met en place leur coordination.

Dix ans après avoir terminé mes travaux de thèse, les botnets apparaissent ainsi non comme un objet du passé, mais comme un modèle analytique qui éclaire toute une série de phénomènes criminels contemporains. Ce ne sont plus seulement des machines compromises : ce sont des structures, des acteurs, des relations. Des écosystèmes. Et c’est résolument à cette échelle qu’il faut penser et agir.

#Botnets #Criminologie #écosystèmesCybercriminels #Europol #ScatteredSpider #ShinyHunters

...I should mention, that was me setting up a #TURN (coturn) server.

So maybe that's real "line noise" from relaying other people's chats?

Hm.
But `/download/file.php?withOnlyIDentifiersNoNames` still looks 🧊 more like a backdoor probe, or clever file-sharing #botnets? 🥶

Too busy to investigate further, but any hints welcome! 🕵️‍♀️ 🌞

#HowAreYourLogsToday?

An awesome guest post: Botnets Never Die on the creativity of #malware developers to be found at #APNIC. It covers details to the #AisuruBotnet, The #AIRASHIBotnet, and how their #C2 communication #protocol works.

Apparnetly, the heartbeat is a client sending cat to the C2 server, and the server responds with meow. Fun and creative.

#DDoS #Aisuru #Airashi #botnets #research #threatintel

After a multi-day outage caused by #AI #botnets, #RationalWiki is back online, and is apparently stable, though Javascript is now required for browsing.
https://rationalwiki.org/wiki/Main_Page

AI propagandists want people to believe that generative AI is a golden hammer, but outward appearances make it appear more like an ordinary sledge hammer.
https://rationalwiki.org/wiki/Golden_hammer

Lees tip -> Politie haalt malafide hostingbedrijf offline | De politie heeft duizenden servers van een malafide hostingbedrijf in beslag genomen. De infrastructuur werd gebruikt voor grootschalige cybercriminaliteit in binnen- en buitenland. | #botnets #cybercrime #datacenters #denhaag #digitaleveiligheid #hostingbedrijf #inbeslagname #OostNederland #phishing #politie #ransomware #servers |

https://hbpmedia.nl/malafide-hostingbedrijf-inbeslagname-servers/

I'm happy to say a bunch of great people are offering help and vendors + hosts are (mostly) responsive to abuse reports for these #botnets. I'm still being targeted in the most personal way #Aisuru operators can. Most of that I'll talk about soon. Thanks esp. to @briankrebs

#botnets

"Aisuru Botnet Shifts from DDoS to Residential Proxies

Aisuru, the botnet responsible for a series of record-smashing distributed denial-of-service (DDoS) attacks this year, recently was overhauled to support a more low-key, lucrative and sustainable business: Renting hundreds of thousands of infected Internet of Things (IoT) devices to proxy services that help cybercriminals anonymize their traffic. Experts say a glut of proxies from Aisuru and other sources is fueling large-scale data harvesting efforts tied to various artificial intelligence (AI) projects, helping content scrapers evade detection by routing their traffic through residential connections that appear to be regular Internet users."

https://krebsonsecurity.com/2025/10/aisuru-botnet-shifts-from-ddos-to-residential-proxies/

When AI-powered attackers can solve CAPTCHAs in seconds, even humanitarian aid isn’t safe anymore. Hackers are flooding Ukraine’s war relief systems with fake accounts and phishing scams—are we ready for this digital arms race?

https://thedefendopsdiaries.com/phantomcaptcha-clickfix-how-ai-powered-attacks-are-targeting-ukraine-war-relief-efforts/

#aiattacks
#ukrainecybersecurity
#captchaevasion
#phishing
#botnets
#apt
#warrelief
#cyberthreats
#infosec

Krebs On Security: DDoS Botnet Aisuru Blankets US ISPs in Record DDoS. “The world’s largest and most disruptive botnet is now drawing a majority of its firepower from compromised Internet-of-Things (IoT) devices hosted on U.S. Internet providers like AT&T, Comcast and Verizon, new evidence suggests.”

https://rbfirehose.com/2025/10/17/krebs-on-security-ddos-botnet-aisuru-blankets-us-isps-in-record-ddos/

Major breaches at trusted platforms and a dangerous new botnet dominated headlines this week.

#cybersecurity #ransomware #botnets #databreach #threatintelligence

https://cybernewsweekly.substack.com/p/cybersecurity-news-review-week-41-77c