1 min

Qui a débranché le botnet Mozi ?

Un mystérieux kill switch a mis fin au réseau de machines zombies, à l’été 2023.

Cyber criminalité - 13 novembre 2023

L’entreprise de cybersécurité Eset a publié, le 1er novembre 2023, une analyse du kill switch qui a mis fin , à l’été 2023, au botnet Mozi, l’un des plus importants du monde. Actif depuis septembre 2019, il contrôlait environ 1,5 million de machines zombies, dont 90% en Chine et en Inde.

Fin septembre 2023, Eset a ainsi identifié une mise à jour de Mozi qui a désactivé le malware et certains services système, conduisant à son extinction. Le kill switch a été déployé en deux temps, le 8 août 2023 en Inde et le 16 août 2023 en Chine. L’origine de cette désactivation demeure mystérieuse mais les chercheurs d’Eset ont découvert qu’un compte administrateur a correctement signé cette mise à jour.

Deux hypothèses se détachent désormais. Première possibilité : les créateurs de Mozi ont débranché eux-mêmes le botnet. Seconde alternative : les forces de l’ordre ont pris le contrôle du compte d’un administrateur pour installer ce kill switch.

L’éditeur de cybersécurité chinois 360 NetLab avait signalé, à l’été 2021, sa contribution à l’arrestation en Chine des créateurs de Mozi, sans donner de détails. L’un des cybercriminels arrêtés pourrait être lié à cette désactivation mais l’opacité de la communication sur la cybersécurité en Chine empêche toute certitude.

Partager cet article avec un ami