C’était l’un des grands botnets, avec plus d’1,5 millions de machines infectées. Mais le malware Mozi, qui exploitait les vulnérabilités de centaines de milliers de machines de l’internet des objets, comme des appareils photos ou des routeurs, a discrètement tiré sa révérence à la fin de l’été.
Si la disparition du botnet n’émeut guère, elle a toutefois interpellé les chercheurs de l’éditeur Eset, qui s’en expliquent dans un article instructif. Car un mystère intriguant plane sur le clap de fin de Mozi.
Apparu en 2019
Apparu en septembre 2019, ce malware exploitait un réseau de type BitTorrent pour infecter des appareils, en s’attaquant à des mots de passe faible et une douzaine de vulnérabilités non corrigées, signalait Microsoft. Outre la vente de prestations illégales d’attaques en déni de service, il s’était également diversifié dans le minage de crypto-actifs dès 2020.
Une activité menée pendant quatre ans, jusqu’à l’été 2023. Les chercheurs d’Eset ont alors repéré le lancement d’un kill switch, identifiée à la fin septembre. C’est cette mise à jour qui a conduit à l’extinction du botnet. L’update logicielle a été lancée en deux temps: d’abord en Inde, le 8 août, puis en Chine le 16 août, ce qui a conduit à une chute soudaine de l’activité du programme malveillant.
Mise à jour signée
Les chercheurs d’Eset remarquent que la mise à jour, qui a désactivé le malware, certains services système et son accès à certains ports, a été correctement signée. Laissant ainsi deux hypothèses sur l’origine du démantèlement du malware. Il pourrait s’agir soit des créateurs du botnet, soit de forces de l’ordre chinoises ayant forcé la coopération des créateurs du programme malveillant.
Une piste sérieuse: comme le rappelle TechCrunch, l’éditeur chinois 360 NetLab avait signalé avoir contribué à l’arrestation en Chine des créateurs de Mozi à l’été 2021. Ce botnet était d’abord présent en Chine et en Inde, environ 90 % des machines infectées. Un démantèlement qui rappellerait alors celui de QakBot par le FBI et celui d’Emotet par Europol.