Le botnet Qakbot est toujours actif

La société de cybersécurité Cisco Talos a indiqué, le 5 octobre 2023, avoir des preuves d’activités des cybercriminels opérant le botnet Qakbot. Une vaste opération de police internationale, menée par l’Allemagne, les États-Unis, la France et les Pays-Bas, avait pourtant démantelé son infrastructure, fin août 2023.

Mais selon Cisco Talos, le groupe cybercriminel poursuivrait actuellement une campagne d’hameçonnage visant à distribuer le ransomware Ransom Knight et le cheval de Troie Remcos. Les chercheurs ont identifié dans cette campagne des métadonnées identiques à celles d’offensives passées de Qakbot.

« Cette activité semble avoir commencé avant que le FBI ne saisisse l’infrastructure de Qakbot à la fin du mois d’août et se poursuit depuis », précise Cisco Talos. Cela indique, selon la société de cybersécurité, que « l’opération des forces de l’ordre n’a peut-être pas touché l’infrastructure de distribution de spam des opérateurs de Qakbot, mais seulement leurs serveurs de commande et de contrôle (C2) ».

Cisco Talos précise toutefois que, depuis le démantèlement, aucun nouveau déploiement du malware Qakbot n’a été signalé. Pour autant, la société de cybersécurité estime que « le logiciel malveillant continuera de représenter une menace importante à l’avenir. C’est d’autant plus probable que les développeurs n’ont pas été arrêtés et qu’ils sont toujours opérationnels, ce qui laisse entrevoir la possibilité qu’ils choisissent de reconstruire l’infrastructure de Qakbot ».