Qui a débranché le botnet Mozi ?
![Image Un membre de [REvil] condamné à 14 ans de prison aux États-Unis](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-885x690.jpeg)
![Image [Change HealthCare :] l’attaque par rançongiciel a coûté 872 millions de dollars](https://incyber.org//wp-content/uploads/2024/05/incyber-news-anonymous-885x690.jpg)
![Image Une vulnérabilité identifiée dans la [billetterie du PSG]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-breach-faille-2024-885x690.jpg)
Un mystérieux kill switch a mis fin au réseau de machines zombies, à l’été 2023.
L’entreprise de cybersécurité Eset a publié, le 1er novembre 2023, une analyse du kill switch qui a mis fin , à l’été 2023, au botnet Mozi, l’un des plus importants du monde. Actif depuis septembre 2019, il contrôlait environ 1,5 million de machines zombies, dont 90% en Chine et en Inde.
Fin septembre 2023, Eset a ainsi identifié une mise à jour de Mozi qui a désactivé le malware et certains services système, conduisant à son extinction. Le kill switch a été déployé en deux temps, le 8 août 2023 en Inde et le 16 août 2023 en Chine. L’origine de cette désactivation demeure mystérieuse mais les chercheurs d’Eset ont découvert qu’un compte administrateur a correctement signé cette mise à jour.
Deux hypothèses se détachent désormais. Première possibilité : les créateurs de Mozi ont débranché eux-mêmes le botnet. Seconde alternative : les forces de l’ordre ont pris le contrôle du compte d’un administrateur pour installer ce kill switch.
L’éditeur de cybersécurité chinois 360 NetLab avait signalé, à l’été 2021, sa contribution à l’arrestation en Chine des créateurs de Mozi, sans donner de détails. L’un des cybercriminels arrêtés pourrait être lié à cette désactivation mais l’opacité de la communication sur la cybersécurité en Chine empêche toute certitude.