NETSCOUT vient de publier une nouvelle analyse portant sur le botnet Eleven11. L’article révèle que cette menace, signalée comme nouvelle en février 2025, est en réalité le « fantôme » d’un botnet plus ancien, « RapperBot », actif depuis 2021. Tribune.
Voici les points clés de cette analyse :
- Innovation et dissimulation : Pour éviter d’être repérés, les opérateurs ont utilisé une partie obscure et non régulée d’Internet (le système OpenNIC) pour masquer leurs serveurs de contrôle.
- Attaques à fort impact : Le botnet a lancé des milliers d’attaques DDoS, dont beaucoup étaient extrêmement puissantes, causant des perturbations majeures grâce à un volume de trafic très élevé.
- Confirmation du démantèlement : L’équipe de NETSCOUT a observé l’activité du réseau s’effondrer fin juillet 2025, peu avant que les autorités ne confirment l’arrestation d’un opérateur.
Découverte d’Eleven11 Botnet
Fin février 2025, un chercheur en sécurité sur le terrain a publié sur un botnet récemment découvert avec une puissance de feu record proclamée dépassant 6Tbps. NETSCOUT a observé des parties de l’attaque par notre télémétrie ATLAS. En nous appuyant sur la technologie de suivi existante, nous avons créé un pipeline innovant qui intègre des métadonnées d’attaque pour surveiller l’infrastructure à voie directe, en utilisant le botnet Eleven11 comme cas de test initial.
Analyse technique
L’activité du botnet avait déjà été suivie depuis 2021 et a été signalée sous le nom de RapperBot en 2022. Un post de chercheurs en 2022 indique que les serveurs C2 initiaux du botnet ont été codés en dur comme adresses IPv4 dans le logiciel malveillant lui-même.
Dans la recherche d’autres traces, ASERT a découvert des échantillons de logiciels malveillants de cette même famille de botnets sur les plateformes de bac à sable. Les rapports ont pris naissance en juillet (any.run et joesandbox.com) et décembre 2024 (joesandbox.com), révélant une fois de plus qu’Eleven11 existait avant l’annonce initiale sur Mastodon en février 2025. Ces rapports révèlent également que le code source du botnet a mûri, tirant parti des noms de domaine enregistrés au lieu d’adresses IPv4 codées en dur pour se connecter à l’infrastructure C2. Ces noms de domaine, présents dans la zone .libre, ont permis aux coupables derrière ce botnet de reconfigurer dynamiquement les serveurs C2, une fois compromis, sans redistribuer de nouvelles versions du malware. Les noms de domaine « enregistrés » en .libre sont administrés par OpenNIC, une racine DNS alternative connue pour sa modération laxiste qui attire l’activité illicite.
Les analystes d’ASERT ont étudié les noms de domaine à partir des rapports de sandbox de logiciels malveillants et ont constaté que les adresses IP du serveur C2 étaient configurées dans les enregistrements DNS TXT de la racine DNS alternative. Dans les premiers jours, les adresses ont été encapsulées entre les parenthèses < et >, séparées plus tard par des caractères de tuyau, indiquant une autre implémentation sur la façon dont les adresses IP C2 ont été traitées par les clients.
Les chercheurs en ingénierie inverse ont également partagé des versions du logiciel malveillant qui a opté pour les noms de domaine enregistrés en tant que noms de domaine de l’ICANN dans les nouveaux domaines génériques de premier niveau (gTLDs) .live et .info. Les noms de domaine ressemblent à un algorithme de génération de domaine. Bien que les enregistrements TXT des noms de domaine OpenNIC détenaient les IP du serveur C2 en texte brut, l’ICANN enregistre les IP du serveur C2 encapsulé dans une chaîne cryptée.
L’équipe de renseignement sur les menaces de NETSCOUT a régulièrement recueilli des renseignements sur les serveurs C2. Les tentatives d’identification des réseaux dans lesquels l’infrastructure C2 était à la maison ont révélé que bon nombre de ces réseaux mal modérés étaient non seulement connus, mais également déjà partagés avec les clients de NETSCOUT via notre flux d’intelligence ATLAS (AIF). AIF protège ses clients en leur permettant d’identifier et de bloquer le trafic provenant ou à destination d’infrastructures compromises dans leur propre périmètre.
Exploitation de la télémétrie
Le botnet est connu pour être une variante de Mirai modifiée. Une caractéristique importante des botnets de type Mirai est que beaucoup d’entre eux n’ont pas la capacité d’usurper les adresses sources tout en générant du trafic d’attaque. Cela révèle par inadvertance la véritable adresse IP de l’hôte compromis lors de la participation à des attaques. Nous avons tiré parti de cette caractéristique pour identifier les schémas de migration sur Internet en nous basant sur des sources connues du passé et en alimenter de nouvelles façons d’attribuer les attaques DDoS au botnet.
À l’aide de la boîte à outils d’apprentissage automatique (ML), l’équipe de renseignement sur les menaces a mis en œuvre de nouvelles méthodologies pour identifier les événements DDoS liés au botnet en question. Un déclin notable a été observé à la fin de juillet; le botnet est devenu sombre début août sans explication apparente.
Analyse des attaques
L’attribution par NETSCOUT d’événements DDoS par ML sur le botnet montre un pic d’activité hebdomadaire de DDoS en mars 2025, s’estompant lentement jusqu’à ce que l’attribution s’arrête à la fin du mois de juillet. Les petites barres d’août sont probablement de faux positifs. Les serveurs C2 du botnet avaient été démantelés par les autorités quelques semaines auparavant.
Entre fin février et août, NETSCOUT a attribué ~3.600 événements DDoS à ce botnet. Des attaques DDoS à fort impact avec des centaines de Gbps ont été fréquemment observées, comme l’illustre la figure 2. La caractéristique de la bande passante élevée a également été observée dans un botnet découvert plus tard appelé Aisuru. Cette caractéristique DDoS notable forme une nouvelle classe de botnets IoT. En raison de la rotation de l’adresse IP, les comptages exacts des hôtes impliqués sont difficiles à déterminer. Les estimations caractérisent ce botnet comme un réseau de systèmes infectés de taille moyenne dans la gamme moyenne à cinq chiffres d’hôtes infectés au pic.
Mi-août, le célèbre journaliste de cybersécurité Brian Krebs a publié un article sur le botnet Eleven11, révélant que l’un des opérateurs a été surpris et arrêté par les autorités – une affirmation confirmée via un communiqué de presse. Nos données confirment que les autorités ont par la suite saisi l’infrastructure C2 et ont commencé à démanteler l’infrastructure du botnet en raison d’un manque d’activité continue à la suite de l’arrestation.
Bien que le botnet ait probablement été rendu inopérable, les dispositifs compromis restent vulnérables. C’est probablement une question de temps jusqu’à ce que les hôtes soient à nouveau détournés et conscrits comme un nœud compromis pour le prochain botnet. Par conséquent, ASERT continue d’analyser les détails de l’attaque et la migration des hôtes compromis pour protéger nos clients contre les menaces futures de cette ampleur.
Recommandations sur les racines DNS alternatives
Pour une grande partie du fonctionnement de RapperBot, les serveurs C2 ont été configurés dans les enregistrements TXT d’une racine DNS alternative avec le nom OpenNIC. Pour les entreprises ordinaires, il n’y a aucune valeur à avoir accès aux noms de domaine OpenNIC. L’expérience attire principalement des technologues de niche sur Internet, des geeks de réseautage, des chercheurs ou simplement des acteurs malveillants. Par conséquent, nous recommandons aux clients de simplement bloquer toute résolution de nom de noms de domaine non officiels de l’ICANN. Les noms de domaine OpenNIC sont:
- .bbs
- .chan
- .cyb
- .dyn
- .geek
- .gopher
- .indy
- .libre
- .neo
- .null
- .o
- .oss
- .oz
- .parody
- .pirate
ASERT recommande de bloquer ces noms de domaine sur le résolveur d’une entreprise.
