Un gigantesque botnet IoT comprenant plus de 200 000 appareils compromis, baptisé « Raptor Train », a été découvert par Black Lotus Labs, la branche de renseignement sur les menaces de Lumen Technologies. On pense que le botnet est exploité par des acteurs malveillants parrainés par l'État chinois connus sous le nom de Flax Typhoon.

L'enquête, qui a débuté à la mi-2023, a révélé un réseau sophistiqué d'appareils de bureau à domicile et de petite taille (SOHO) et d'appareils IoT, notamment des routeurs, des appareils NVR/DVR, des serveurs de stockage en réseau (NAS) et des caméras IP. À son apogée en juin 2023, le botnet était composé de plus de 60 000 appareils activement compromis.

« Compte tenu de l’ampleur récente de l’exploitation des appareils, nous soupçonnons que des centaines de milliers d’appareils ont été piratés par ce réseau depuis sa formation en mai 2020 », ont noté les chercheurs de Black Lotus Labs.

L'infrastructure du botnet est gérée par une série de serveurs de charge utile et de commande et de contrôle (C2) distribués, un backend Node.js centralisé et un frontend d'application Electron multiplateforme appelé « Sparrow ». Ce système de contrôle de niveau entreprise permet aux acteurs de la menace de gérer jusqu'à 60 serveurs C2 et leurs nœuds infectés simultanément.

« Ce service permet une suite complète d'activités, notamment l'exploitation évolutive des robots, la gestion des vulnérabilités et des exploits, la gestion à distance de l'infrastructure C2, les téléchargements et les chargements de fichiers, l'exécution de commandes à distance et la capacité d'adapter les attaques par déni de service distribué (DDoS) basées sur l'IoT à grande échelle », ont expliqué les chercheurs.

Bien qu'aucune attaque DDoS provenant de Raptor Train n'ait été observée à ce jour, les chercheurs soupçonnent que cette capacité est préservée pour une utilisation future. Le botnet a été associé à des cibles américaines et taïwanaises dans divers secteurs, notamment l'armée, le gouvernement, l'enseignement supérieur, les télécommunications, la base industrielle de défense (DIB) et l'informatique.

L'implant principal utilisé sur la plupart des nœuds de niveau 1, appelé « Nosedive », est une variante personnalisée de l'implant Mirai. Il prend en charge toutes les principales architectures SOHO et IoT et utilise des techniques anti-forensiques, ce qui rend la détection et l'analyse difficiles.

Black Lotus Labs a identifié quatre campagnes distinctes depuis la création de Raptor Train : Crossbill (de mai 2020 à avril 2022), Finch (de juillet 2022 à juin 2023), Canary (de mai 2023 à août 2023) et Oriole (de juin 2023 à aujourd'hui). Chaque campagne a démontré une évolution des tactiques et une augmentation des types d'appareils compromis.

Les chercheurs attribuent le botnet à Flax Typhoon en se basant sur les délais opérationnels, le ciblage aligné sur les intérêts chinois, l'utilisation de la langue chinoise et d'autres chevauchements TTP.

En réponse à ces conclusions, Lumen Technologies a acheminé le trafic vers l'infrastructure connue utilisée par les opérateurs du train Raptor et a partagé des renseignements sur les menaces avec les agences gouvernementales américaines.

Un avis conjoint de cybersécurité a été publié (PDF) par le FBI, la Cyber ​​National Mission Force (CNMF) et la National Security Agency (NSA) qui évalue de la même manière que « les cyberacteurs liés à la République populaire de Chine (RPC) ont compromis des milliers d'appareils connectés à Internet, y compris des routeurs de petites entreprises/bureaux à domicile (SOHO), des pare-feu, des périphériques de stockage en réseau (NAS) et de l'Internet des objets (IoT) dans le but de créer un réseau de nœuds compromis (un « botnet ») positionnés pour une activité malveillante. »

Pour se protéger contre de telles menaces, il est conseillé aux défenseurs du réseau de rechercher les transferts de données volumineux hors du réseau, même si l'adresse IP de destination semble locale. Les organisations doivent envisager de mettre en œuvre des solutions complètes de service d'accès sécurisé (SASE), tandis que les consommateurs équipés de routeurs SOHO doivent régulièrement redémarrer leurs appareils et installer des mises à jour de sécurité.