Les chercheurs en cybersécurité ont découvert une nouvelle variante du malware **Chaos** capable de frapper des déploiements cloud mal configurés, marquant une expansion de l'infrastructure de ciblage du botnet. « Le malware Chaos cible de plus en plus les déploiements cloud mal configurés, s'étendant au-delà de son focus traditionnel sur les routeurs et les appareils périphériques », a déclaré **Darktrace** dans un nouveau rapport. ### Chaos : un aperçu **Chaos** a été documenté pour la première fois par **Lumen Black Lotus Labs** en septembre 2022. Il s'agit d'un malware multiplateforme capable de cibler les environnements Windows et Linux. Ses capacités incluent l'exécution de commandes shell à distance, le dépôt de modules supplémentaires, la propagation à d'autres hôtes en forçant les clés SSH, le minage de cryptomonnaies et le lancement d'attaques par déni de service distribué (DDoS) via HTTP, TLS, TCP, UDP et WebSocket. Le malware est considéré comme une évolution d'un autre malware DDoS connu sous le nom de **Kaiji**, qui ciblait les instances Docker mal configurées. L'acteur derrière cette opération est actuellement inconnu, mais la présence de caractères chinois et l'utilisation d'infrastructures basées en Chine suggèrent que l'acteur de la menace pourrait être d'origine chinoise. ### Ciblage des déploiements Hadoop **Darktrace** a identifié la nouvelle variante ciblant son réseau de honeypots le mois dernier, spécifiquement une instance Hadoop délibérément mal configurée qui permet l'exécution de code à distance sur le service. L'attaque a commencé par une requête HTTP vers le déploiement Hadoop pour créer une nouvelle application. L'application intégrait une séquence de commandes shell pour récupérer un binaire de l'agent **Chaos** à partir d'un serveur contrôlé par l'attaquant ("pan.tenire[.]com"), définir les permissions pour permettre à tous les utilisateurs de le lire, le modifier ou l'exécuter ("chmod 777"), puis exécuter le binaire et supprimer l'artefact du disque pour minimiser la trace forensique. ### Connexion à Silver Fox Fait intéressant, le domaine utilisé dans l'attaque était précédemment associé à une campagne de **phishing** par e-mail menée par le groupe de cybercriminalité chinois **Silver Fox** pour livrer des documents leurres et le malware ValleyRAT. Cette campagne a été nommée Opération Silk Lure par **Seqrite Labs** en octobre 2025. ### Capacités mises à jour Le binaire ELF 64 bits est une version restructurée et mise à jour de **Chaos** qui retravaille plusieurs de ses fonctions, tout en conservant la plupart de son ensemble de fonctionnalités de base. Un changement significatif est la suppression des fonctions qui lui permettaient de se propager via SSH et d'exploiter les vulnérabilités des routeurs. À leur place se trouve une nouvelle fonctionnalité de proxy SOCKS qui permet au système compromis d'être utilisé pour acheminer le trafic, dissimulant ainsi les véritables origines de l'activité malveillante et rendant plus difficile la détection et le blocage de l'attaque par les défenseurs. « De plus, plusieurs fonctions qui étaient auparavant considérées comme héritées de **Kaiji** ont également été modifiées, suggérant que les acteurs de la menace ont soit réécrit le malware, soit l'ont considérablement refactorisé », a ajouté **Darktrace**. ### Monétisation et menaces futures L'ajout de la fonctionnalité de proxy suggère que les acteurs de la menace derrière le malware cherchent à monétiser davantage le botnet au-delà du minage de cryptomonnaies et de la mise à disposition de DDoS, et à suivre leurs concurrents sur le marché de la cybercriminalité en offrant une gamme diversifiée de services illicites. « Bien que Chaos ne soit pas un nouveau malware, son évolution continue souligne la détermination des cybercriminels à étendre leurs botnets et à améliorer les capacités à leur disposition », a conclu **Darktrace**. « Le récent passage de botnets tels que AISURU et Chaos à l'inclusion de services proxy comme fonctionnalités principales démontre que le déni de service n'est plus le seul risque que ces botnets représentent pour les organisations et leurs équipes de sécurité. »