Un botnet au nom unique, Gayfemboy, brise la tendance habituelle avec les variantes Mirai et devient une menace DDoS persistante.

Identifié pour la première fois par des chercheurs en cybersécurité du XLab de QiAnXin en février 2024, Gayfemboy a dérouté les analystes par sa résilience, son évolution rapide et sa nature agressive. Contrairement aux dérivés transitoires de Mirai qui jonchent le paysage, Gayfemboy est devenu un botnet sophistiqué et à grande échelle capable d'exploiter les vulnérabilités du jour zéro (0-day) et de lancer des attaques féroces.

Lorsque Gayfemboy est apparu en février 2024, il semblait n'être qu'un autre clone de Mirai. Les échantillons initiaux étaient banals, dotés d’une coque UPX standard et dépourvus d’innovation notable. Beaucoup l’auraient considéré comme un autre botnet éphémère voué à disparaître. Cependant, au cours des mois suivants, Gayfemboy a subi un développement itératif agressif pour intégrer de nouvelles fonctionnalités.

En avril 2024, ses développeurs ont modifié le shell UPX avec un nouveau nombre magique, « YTS\x99 », et ont adopté un paquet d'enregistrement personnalisé intitulé « gayfemboy ». À la mi-juin, le botnet a encore progressé, ajustant son shell UPX et atteignant une relative stabilité, avec seulement des modifications incrémentielles des domaines de commande et de contrôle (C2).

Alors que les chercheurs continuaient à suivre son développement, l’équipe de XLab a observé que Gayfemboy devenait de plus en plus innovant. En novembre 2024, le botnet a progressé de façon spectaculaire, exploitant une vulnérabilité 0-day dans les routeurs industriels Four-Faith (divulguée plus tard sous le nom CVE-2024-12856) – ainsi que des vulnérabilités apparemment inconnues dans les routeurs Neterbit et les appareils domestiques intelligents Vimar – pour étendre considérablement son infection. échelle.

Les capacités et l'agressivité de Gayfemboy sont devenues évidentes lorsque les chercheurs du XLab ont tenté d'analyser son ampleur en enregistrant des domaines C2 non réclamés. Après avoir détecté les actions des chercheurs, les opérateurs du botnet ont lancé des attaques DDoS en représailles contre les domaines enregistrés – une démarche hostile qui a souligné la sophistication et la ténacité opérationnelle de Gayfemboy.

L'analyse a révélé que Gayfemboy est une entité ambitieuse et en évolution rapide. XLab a mesuré plus de 15 000 nœuds actifs quotidiens orchestrés sous le commandement du botnet. Ces appareils compromis étaient organisés en plus de 40 groupes distincts, démontrant un mécanisme avancé de gestion du réseau tentaculaire d'appareils infectés du botnet.

Gayfemboy exploite les vulnérabilités 0 jour et N jour

Gayfemboy se distingue en utilisant un mélange de plus de 20 vulnérabilités ainsi que des informations d'identification faibles Telnet pour compromettre les appareils. Les opérateurs intègrent à la fois des vulnérabilités de N jours (failles de sécurité bien documentées) et des exploits de 0 jour pour faire évoluer leur botnet.

Des vulnérabilités non divulguées affectaient des appareils tels que les solutions de maison intelligente Vimar. Pour des raisons éthiques compréhensibles, les chercheurs ont omis les détails des vulnérabilités non divulguées.)

La méthode d’infection varie en fonction de l’appareil ciblé. Les chercheurs ont identifié plusieurs appareils infectés sur la base des informations de regroupement intégrées dans les données du botnet. Cela permet aux attaquants de catégoriser et de contrôler efficacement les nœuds infectés. Les principales cibles comprennent :

  • Routeurs ASUS, utilisant les vulnérabilités N-day.
  • Routeurs à quatre confessions, piratés via CVE-2024-12856.
  • Routeurs Neterbit, détails méthodologiques inconnus.

La Chine, les États-Unis, l'Iran, la Russie et la Turquie représentent la majorité des appareils compromis, bien que les infections de Gayfemboy s'étendent également à d'autres régions.

Une menace DDoS persistante

La véritable force de Gayfemboy réside dans sa capacité à lancer des attaques DDoS dévastatrices. À partir de février 2024, le botnet s’est concentré sur des offensives DDoS intermittentes mais à fort impact ciblant quotidiennement des centaines d’entités.

Les analystes ont observé une forte hausse de l’activité entre octobre et novembre 2024, affectant des secteurs allant des télécommunications aux organisations gouvernementales. Géographiquement, les attaques ont principalement touché des entités situées en Chine, aux États-Unis, en Allemagne, au Royaume-Uni et à Singapour.

Lorsque les chercheurs de XLab ont utilisé un serveur privé virtuel (VPS) d'un fournisseur de cloud pour surveiller les domaines C2 de Gayfemboy, le botnet a déclenché des attaques DDoS récurrentes contre le VPS.

Les attaques contre le VPS, d'une durée comprise entre 10 et 30 secondes, ont réussi à le rendre inaccessible. Lorsque le fournisseur de cloud a détecté le comportement, il a bloqué le trafic vers le VPS pendant 24 heures, ce qui témoigne de la puissance de feu considérable du botnet, avec un trafic d'attaque estimé à 100 Go.

Évolution de Gayfemboy

Malgré les fonctionnalités avancées de Gayfemboy, certains éléments de son code mettent en avant l'ancrage des opérateurs dans Mirai.

Le bot conserve la structure de commande de Mirai mais a supprimé sa table de chaînes de signature, remplacé les chaînes de texte en clair et ajouté de nouvelles fonctionnalités. Par exemple:

  • Les commandes permettent aux opérateurs de lancer ou d'arrêter des analyses, de tuer les attaques actives ou de mettre à jour le bot lui-même.
  • Lors de l'exécution, le bot affiche « nous sommes partis maintenant\n », une ligne qui a persisté à chaque itération.

Une caractéristique particulière est la tentative de Gayfemboy de se cacher en exploitant des répertoires inscriptibles. Au démarrage, le bot recherche les chemins accessibles en écriture, écrit un fichier de test et le supprime. En cas de succès, il monte le répertoire sur `/proc/` pour masquer l'ID du processus, masquant ainsi sa présence dans le système de fichiers `/proc`.

L'intégration de nouvelles commandes opérationnelles par Gayfemboy permet aux attaquants de lancer des campagnes DDoS, de télécharger des charges utiles malveillantes et de lancer des opérations d'analyse, le tout avec une précision claire et des mises à jour cohérentes.

Avec une accessibilité croissante et de faibles coûts, les botnets distribués comme Gayfemboy démontrent avec quelle facilité les acteurs malveillants peuvent évoluer en permanence à mesure qu'ils intègrent de nouvelles vulnérabilités et méthodes. L'approche sophistiquée de Gayfemboy, allant de l'exploitation des 0-days aux attaques de représailles stratégiques, reflète une escalade plus large des capacités des botnets modernes.