Le 31 mars 2016 - Des chercheurs d’ESET ont découvert une version nouvelle et améliorée de Kaiten, un malware IRC (Internet Relay Chat) généralement utilisé pour diffuser des attaques DDoS (distributed denial of service – diffusion de déni de service). Le malware a été redéveloppé et baptisé ‘KTN-Remastered’ ou ‘KTN-RM’. Trois versions de Linux/Remaiten ont déjà été identifiées par les chercheurs d’ESET. Basée sur des éléments du code, la caractéristique principale de ce malware est un mécanisme de diffusion amélioré.

Basé à l’origine sur le balayage telnet Linux/Gafgyt, KTN-RM améliore le mécanisme de diffusion en effectuant des téléchargements d’exécutables binaires pour les plates-formes intégrées telles que les routeurs et autres appareils connectés. Il cible principalement les appareils avec de faibles identifiants de connexion.

«Par ailleurs, la tâche du téléchargeur consiste à faire demander par le bot binaire Linux/Remaiten au serveur de commande et de contrôle son architecture actuelle. Une fois exécuté, il crée un autre bot qui est alors utilisé par les criminels. Nous avons vu que cette technique a été utilisée au paravent par Linux/Moose pour diffuser des infections », explique Michal Malik, chercheur malware chez ESET.

Curieusement, la souche du malware contient également un message pour ceux qui voudraient essayer de neutraliser cette menace.

«Dans le message d’accueil, la version 2.0 semble sélectionner malwaremustdie.org qui a dévoilé des détails à propos de Gafgyt, Tsunami et d’autres membres de cette famille de malware, » ajoute Malik.

Des détails supplémentaires à propos de Linux/Remaiten sont disponibles dans un article technique écrit par Michal Malik sur le blog de sécurité officiel d’ESET www.WeLiveSecurity.com