DataDome

Analyse du trafic Kimwolf : comment les proxys résidentiels alimentent le credential stuffing, le scraping et la fraude

Table des matières
Dernière mise à jour : 10 Mar, 2026
|
min

Fin 2025, un énorme botnet appelé Aisuru a fait les gros titres après avoir lancé certaines des plus grandes attaques DDoS jamais enregistrées, culminant à 31,4 térabits par seconde. 

En quelques mois, une variante spécialisée pour Android a émergé : Kimwolf. Cette souche cible les appareils IoT mal sécurisés, y compris les boîtiers Android TV de marque blanche, les cadres photo numériques et les routeurs, les transformant en nœuds d’un réseau tentaculaire de plus de 2 millions d’appareils compromis dans 222 pays.

Ce qui rend Kimwolf particulièrement préoccupant, c’est sa conception à double usage. Au-delà de sa puissance de frappe DDoS brute, le botnet monétise les appareils infectés en tant que proxys résidentiels, acheminant le trafic malveillant via des adresses IP résidentielles d’apparence légitime. Cette infrastructure proxy alimente des opérations de scraping web, des campagnes de credential stuffing et d’autres attaques automatisées à grande échelle. Les chercheurs en sécurité ont lié ce réseau de proxys à des efforts de collecte de données liés à des projets de formation d’IA, des scrapers de contenu et des opérations de fraude.

Les opérateurs du botnet, qui se font appeler “Dort,” ont montré une volonté de repousser les limites. En février 2026, ils ont tenté de joindre 700 000 bots infectés en tant que nœuds sur le réseau d’anonymisation I2P, le paralysant accidentellement, car I2P fonctionne normalement avec seulement 15 000 à 20 000 appareils actifs. Cette manœuvre faisait partie d’un effort plus large pour construire une infrastructure de commande et de contrôle résiliente pouvant survivre aux tentatives de démantèlement.

Malgré les efforts de perturbation coordonnés par Google, Cloudflare et Lumen Technologies (qui ont annulé plus de 550 adresses C2), le botnet continue d’évoluer, modifiant rapidement son infrastructure et adaptant ses techniques.

L’équipe de recherche sur les menaces Galileo de DataDome a enquêté. Voici ce que nous avons trouvé.

Détection & analyse

En utilisant des plateformes de scan Internet, nous avons identifié des appareils présentant des caractéristiques cohérentes avec les vecteurs d’infection de Kimwolf. Nous avons ensuite croisé cette liste avec le trafic observé sur la base de clients de DataDome.

Répartition mondiale

Le trafic provenant des IP liées à Kimwolf s’étend à travers le monde, mais avec une concentration claire en Europe, notamment en France, en Allemagne et dans les pays environnants, où nous observons de loin les plus grands nombres d’empreintes. Des clusters plus petits mais notables apparaissent aux États-Unis, en Amérique du Sud (Brésil, Argentine, Colombie), au Moyen-Orient (Turquie, Iran, Arabie Saoudite) et en Asie du Sud/Sud-Est (Inde, Thaïlande, Indonésie, Philippines). Des poches d’activité atteignent également l’Australie, l’Afrique du Sud et l’Asie de l’Est.

Cette répartition diffère quelque peu de l’empreinte mondiale d’infection du botnet, qui est la plus forte au Brésil, en Inde et aux États-Unis. La concentration européenne dans nos données reflète la répartition géographique de la base de clients de DataDome. C’est là que le trafic du botnet frappe activement les sites web protégés par DataDome. 

 

Distribution of Kimwolf-linked traffic across websites protected by DataDome

Infrastructure

L’infrastructure derrière ce trafic révèle une tendance révélatrice. Les deux principaux systèmes autonomes par volume sont Serverius Holdings (un fournisseur d’hébergement néerlandais) et Amazon (AWS), deux environnements cloud/hébergement couramment abusés par les botnets. Hetzner Online, un autre fournisseur d’hébergement populaire, figure également en bonne place.

Mais les données montrent également un trafic significatif provenant des FAI résidentiels, comme Bouygues Telecom, Deutsche Telekom, Free SAS, SEWAN SAS, et d’autres. Ce double modèle hébergement-plus-résidentiel est une signature du modèle opérationnel de Kimwolf. Le botnet utilise simultanément l’infrastructure cloud pour des opérations à haut volume tout en acheminant le trafic à travers des appareils résidentiels compromis pour paraître légitime, exactement selon la stratégie de monétisation basée sur les proxys que les chercheurs ont documentée.

Intention de l’adversaire

Le trafic lié à Kimwolf frappe un large éventail de clients protégés par DataDome. Les segments ciblés révèlent une stratégie d’attaque à plusieurs niveaux :

  • les pages web représentent la majorité écrasante des requêtes, pointant vers l’activité dominante : le scraping à grande échelle de données de produits, d’informations de prix ou de contenu ;
  • les points d’accès de connexion voient une activité significative, cohérente avec les campagnes de credential stuffing probablement alimentées par des bases de données d’identifiants divulguées ;
  • les formulaires et la création de comptes sont également ciblés, ce qui suggère une inscription automatisée et de la fraude aux comptes ;
  • les paniers et points de paiement voient des volumes plus faibles mais significatifs, indiquant que certains opérateurs utilisent l’infrastructure du botnet pour la fraude de paiement ;
  • les API mobiles reçoivent également du trafic, ce qui prouve que les attaquants ne se limitent pas aux vecteurs web de bureau.

Cette diversité de cibles s’aligne avec ce que les chercheurs ont observé à l’échelle mondiale : le réseau de proxys de Kimwolf est loué à plusieurs acteurs malveillants, chacun ayant ses propres objectifs, des collecteurs de données aux fraudeurs.

Profil de l’attaquant

Les marqueurs de menace déclenchés par le trafic lié à Kimwolf sont très révélateurs. Les signaux les plus fréquemment signalés sont :

  • réseau : les IP proviennent d’une infrastructure d’anonymisation connue et portent des scores de réputation négatifs en raison d’activités malveillantes antérieures. Le trafic est acheminé à travers des proxys résidentiels avec une géolocalisation incohérente par rapport à d’autres signaux ;
  • côté serveur : les bots prétendent être des navigateurs standard, mais leurs empreintes réelles ne correspondent pas, caractéristique typique des identités usurpées. Les signatures TLS et des en-têtes sont anormales, ce qui trahit l’infrastructure d’automatisation sous-jacente ;
  • côté client : une partie importante du trafic montre des marqueurs de navigateurs sans tête ou d’outils automatisés ;
  • comportemental : le trafic présente des schémas de session anormaux, y compris des séquences de navigation irrégulières, des taux de requêtes extrêmes et des changements de géolocalisation en cours de session cohérents avec la rotation des proxys.

Ce profil est remarquablement cohérent à travers pratiquement tout le trafic lié à Kimwolf. Cela suggère une pile d’outils uniforme, même si les objectifs finaux diffèrent. Les bots sont suffisamment sophistiqués pour tenter l’usurpation de navigateur mais pas assez pour échapper à l’empreinte multi-couches.

Détection de Kimwolf/Aisuri

DataDome détecte et bloque le trafic du botnet Kimwolf/Aisuru. Notre moteur de détection multi-couches, combinant analyse comportementale, empreinte digitale des appareils et réputation IP, identifie ces requêtes, que l’infrastructure sous-jacente tourne ou non, ce qui est courant avec les botnets qui exploitent à la fois l’hébergement cloud et les réseaux de proxys résidentiels.

Protégez votre entreprise des botnets sophistiqués

Le botnet Kimwolf/Aisuru représente l’une des menaces de bot les plus importantes apparues ces dernières années. Ses capacités DDoS sans précédent ont fait les gros titres, mais la menace plus discrète, son infrastructure de proxy résidentiel alimentant le scraping, le credential stuffing et la fraude, est ce qui impacte directement les entreprises en ligne.

Notre enquête confirme que le trafic lié à Kimwolf cible activement un large éventail de secteurs d’activités, avec le scraping web et le credential stuffing comme principaux vecteurs d’attaque. Le modèle d’infrastructure double du botnet, qui combine l’hébergement cloud avec des appareils résidentiels compromis, le rend particulièrement difficile pour les défenses simples basées sur les IP.

L’approche multi-couches de DataDome, qui analyse la cohérence des navigateurs, les empreintes digitales des appareils, les schémas comportementaux et la réputation IP ensemble, fournit une détection robuste contre ce type de trafic de botnet distribué et acheminé par proxy. 

Alors que Kimwolf continue d’évoluer et de s’adapter aux efforts de démantèlement, notre moteur de détection continue d’identifier et de bloquer son trafic à travers notre base de clients. Exécutez le scan de vulnérabilité gratuit de DataDome dès aujourd’hui pour vous assurer que votre site est correctement protégé contre les agents IA malveillants et les bots malveillants.

 

Contributeurs : Sarah Belghiti, Kevin Mignot, Guenaelle De Julis

Sources