Le **National Cyber Security Centre (NCSC-UK)** du Royaume-Uni et ses partenaires internationaux ont émis un avertissement sévère : les pirates parrainés par la Chine utilisent de plus en plus de vastes réseaux d'appareils grand public compromis pour échapper à la détection et dissimuler leurs activités malveillantes. Cet avis conjoint, co-signé par des agences des États-Unis, de l'Australie, du Canada, de l'Allemagne, du Japon, des Pays-Bas, de la Nouvelle-Zélande, de l'Espagne et de la Suède, souligne un changement significatif dans les tactiques. La majorité des groupes de pirates chinois ont abandonné l'infrastructure acquise individuellement au profit de botnets étendus d'appareils compromis, ciblant principalement les routeurs pour petites entreprises et domiciles (SOHO), les caméras connectées à Internet, les enregistreurs vidéo et les équipements de stockage en réseau (NAS). ### Fonctionnalité des Botnets Ces botnets massifs permettent aux attaquants d'acheminer le trafic via des chaînes d'appareils compromis. Le trafic entre dans le réseau à un point, passe par plusieurs nœuds intermédiaires et sort près de la cible visée, masquant ainsi efficacement la véritable localisation de l'attaquant et évitant la détection géographique. "Le NCSC estime que la majorité des acteurs de menace liés à la Chine utilisent ces réseaux [..], que plusieurs réseaux clandestins ont été créés et sont constamment mis à jour, et qu'un seul réseau clandestin pourrait être utilisé par plusieurs acteurs", indique l'[avis conjoint](https://www.ncsc.gov.uk/news/executive-summary-defending-against-china-nexus-covert-networks-of-compromised-devices). "Ces réseaux sont principalement constitués de routeurs Small Office Home Office (SOHO) compromis, ainsi que d'appareils Internet of Things (IoT) et intelligents." <div> <figure> <figcaption><em>Configuration de base d'un réseau clandestin (NCSC-UK)</em></figcaption> </figure> </div> ### Exemples Notables de Botnets Un tel botnet chinois massif, connu sous le nom de **Raptor Train**, a infecté plus de 260 000 appareils dans le monde en 2024. Le **FBI** a lié **Raptor Train** à des activités malveillantes attribuées au groupe de pirates parrainé par l'État chinois **Flax Typhoon** et à la société chinoise **Integrity Technology Group** (sanctionnée en janvier 2025). Le **FBI** a perturbé **Raptor Train** en septembre 2024 avec l'aide de chercheurs de **Black Lotus Labs** après l'avoir lié à des campagnes ciblant des entités dans les secteurs militaire, gouvernemental, de l'enseignement supérieur, des télécommunications, de la base industrielle de défense (DIB) et des TI, principalement aux États-Unis et à Taïwan. Un réseau distinct (**KV-Botnet**) a été utilisé par le groupe de menace **Volt Typhoon**, soutenu par la Chine, et était principalement composé de routeurs **Cisco** et **Netgear** vulnérables qui étaient obsolètes et ne recevaient plus de correctifs de sécurité. Le **FBI** a également perturbé **KV-Botnet** en effaçant le malware des routeurs infectés en janvier 2024, mais **Volt Typhoon** a lentement commencé à le relancer en novembre 2024 après une première tentative infructueuse en février. ### Implications et Atténuation "Les opérations de botnets représentent une menace importante pour le Royaume-Uni en exploitant les vulnérabilités des appareils connectés à Internet du quotidien, avec le potentiel de mener des cyberattaques à grande échelle", a déclaré Paul Chichester, directeur des opérations du **NCSC-UK**. Les agences de renseignement occidentales qui ont signé l'avis ont averti que les défenses traditionnelles basées sur le blocage de listes statiques d'adresses IP malveillantes deviennent moins efficaces à mesure que ces botnets ajoutent continuellement de nouveaux nœuds compromis. Au lieu de cela, les défenseurs réseau des petites, moyennes et grandes organisations sont invités à mettre en œuvre l'authentification multifacteur, à cartographier les appareils en périphérie du réseau, à exploiter les flux de menaces dynamiques qui incluent des indicateurs de réseaux clandestins connus et, dans la mesure du possible, à appliquer des listes d'autorisation IP, des contrôles zero-trust et la vérification des certificats machine.