Les botnets qui dominent le spam en 2026
En 2026, trois réseaux de botnets concentrent l'essentiel du spam mondial : Emotet-NG, Phorpiex/Twizt et QakBot Reloaded. Ces infrastructures distribuées génèrent collectivement plus de 60 % du volume global de courriers indésirables, relayant phishing, ransomware et fraudes financières à une échelle industrielle.
Comprendre leur fonctionnement, leur évolution depuis la chute de Necurs et les mécanismes de défense disponibles est devenu indispensable pour toute organisation soucieuse de la sécurité de sa messagerie.
La chute de Necurs et le vide qu'elle a créé
Pendant des années, Necurs a régné sans partage sur le spam mondial. À son apogée, ce botnet comptait plus de 9 millions de machines infectées dans le monde et était capable d'envoyer jusqu'à 30 milliards de spams par jour. Sa démantèlement coordonné par Microsoft et ses partenaires en mars 2020 a constitué l'une des plus grandes opérations de cybersécurité jamais menées.
Mais l'écosystème criminel ne tolère pas le vide longtemps. En quelques mois, d'autres réseaux ont absorbé les machines orphelines de Necurs et organisé la relève. Le modèle économique du spam-as-a-service s'est encore perfectionné, avec des opérateurs proposant des campagnes clé en main à des commanditaires issus du monde du cybercrime organisé.
Un marché du spam résilient par nature
Le spam n'est pas qu'une nuisance : c'est un vecteur d'infection initial pour 94 % des malwares selon le Verizon DBIR. Cette donnée explique pourquoi les groupes criminels investissent massivement dans le maintien et l'évolution de leurs infrastructures botnet, même après des démantèlements coûteux.
Les botnets modernes fonctionnent désormais en architecture peer-to-peer décentralisée, rendant les opérations de démantèlement beaucoup plus complexes qu'à l'époque de Necurs, qui reposait encore en partie sur des serveurs de commande et contrôle centralisés.
Emotet-NG : le fantôme qui ne meurt pas
Emotet avait été neutralisé en janvier 2021 lors de l'opération LadyBird, une action coordonnée d'Europol impliquant huit pays. Deux ans plus tard, il renaissait de ses cendres. La variante désormais désignée sous le nom d'Emotet-NG par les chercheurs de Proofpoint et Check Point intègre des améliorations architecturales majeures.
- Polymorphisme avancé : le code se réécrit à chaque itération pour contourner les signatures antivirus classiques.
- Chiffrement des communications C2 : les échanges entre les bots et les serveurs de commandement sont chiffrés via des protocoles légitimes détournés (HTTPS, DNS over HTTPS).
- Modularité totale : Emotet-NG peut déployer des charges utiles variées — stealers, ransomwares, loaders — à la demande de ses clients.
En termes de volume, Emotet-NG est responsable d'environ 25 % du spam malveillant mondial mesuré en 2025, selon les données agrégées de plusieurs CERT européens. Ses campagnes ciblent prioritairement les entreprises PME du secteur financier, de la santé et des services professionnels.
Les techniques de diffusion d'Emotet-NG
Ce botnet excelle dans le thread hijacking : il intercepte de vraies conversations e-mail compromises et y insère des pièces jointes malveillantes (documents Office, fichiers OneNote, archives ZIP protégées par mot de passe). Le destinataire voit une réponse à un mail qu'il reconnaît, ce qui efface tout soupçon.
Cette sophistication rend les filtres antispam basés uniquement sur la réputation d'expéditeur particulièrement inefficaces face à Emotet-NG, puisque les domaines utilisés sont souvent légitimes et préalablement compromis.
Phorpiex/Twizt : le spécialiste du volume brut
Là où Emotet-NG mise sur la sophistication, Phorpiex — rebaptisé Twizt dans sa version peer-to-peer — joue la carte du volume pur. Ce botnet est l'un des plus anciens encore en activité : il existe sous différentes formes depuis 2010. Sa persistance tient à une stratégie délibérément bas de gamme mais redoutablement efficace.
Phorpiex/Twizt est spécialisé dans deux types de campagnes :
- La sextorsion de masse : envoi de millions d'e-mails affirmant détenir des preuves compromettantes, en s'appuyant sur des bases de données de mots de passe volés pour personnaliser chaque message et maximiser la crédibilité.
- Le cryptojacking et la fraude au portefeuille : remplacement à la volée d'adresses de portefeuilles cryptographiques copiées dans le presse-papier des victimes infectées.
Selon Check Point Research, Phorpiex a touché plus de 3 000 organisations dans 110 pays lors d'une seule vague de sextorsion en 2024. Son infrastructure Twizt, entièrement P2P, survit à la suppression de nœuds individuels sans interruption de service notable.
QakBot Reloaded : la résurrection d'un vétéran
L'opération Duck Hunt du FBI en août 2023 avait détruit l'infrastructure de QakBot (aussi appelé Qbot), désactivant plus de 700 000 machines infectées. L'annonce avait été saluée comme une victoire décisive. Moins d'un an plus tard, QakBot était de retour.
La variante 2024-2026, désignée QakBot Reloaded, a tiré toutes les leçons du démantèlement précédent :
- Infrastructure entièrement distribuée, sans serveur central identifiable.
- Utilisation de réseaux d'anonymisation superposés pour masquer les communications.
- Spécialisation accrue dans les campagnes de Business Email Compromise (BEC), visant les services comptables et financiers.
QakBot Reloaded est particulièrement redouté car il sert de point d'entrée à des groupes ransomware majeurs. L'ANSSI a publié en 2025 plusieurs alertes concernant des intrusions dans des collectivités territoriales françaises initiées par des campagnes QakBot Reloaded.
Point de vue FrozenSpam — Les botnets de 2026 ne ressemblent plus aux spammeurs artisanaux d'il y a dix ans. Ce sont des infrastructures criminelles industrialisées, résilientes et modulaires. Un filtre antispam qui ne repose que sur des listes noires statiques ou la réputation IP est structurellement dépassé face à ces menaces. La réponse doit être architecturale, pas seulement réactive.
Comparatif des 3 botnets dominants en 2026
| Botnet | Volume spam estimé | Type de campagne principale | Architecture C2 | Cibles prioritaires |
|---|---|---|---|---|
| Emotet-NG | ~25 % du spam malveillant | Thread hijacking, droppers | P2P chiffré | PME, finance, santé |
| Phorpiex/Twizt | >10 milliards msgs/mois | Sextorsion, cryptofraude | P2P résistant | Grand public, TPE |
| QakBot Reloaded | Ciblé (BEC haute valeur) | BEC, accès initial ransomware | Anonymisé distribué | Comptabilité, collectivités |
Pourquoi les défenses traditionnelles sont insuffisantes
Face à ces trois acteurs, les approches classiques montrent leurs limites structurelles. Les listes noires d'adresses IP sont contournées en quelques heures : les botnets font tourner leurs nœuds d'émission en permanence, utilisant des millions d'adresses résidentielles compromises qui ne figurent dans aucune liste de réputation.
Les filtres basés sur l'analyse de contenu seul peinent face au polymorphisme d'Emotet-NG, qui génère des variantes uniques de chaque e-mail. Quant aux solutions qui s'appuient exclusivement sur l'authentification SPF/DKIM/DMARC, elles ne protègent pas contre les campagnes utilisant des domaines légitimes compromis — précisément la signature d'Emotet-NG.
Le défi-réponse comme couche de défense complémentaire
L'approche par défi-réponse apporte une réponse architecturalement différente. Elle ne cherche pas à identifier si un e-mail est malveillant sur la base de son contenu ou de l'IP source — deux critères que les botnets sophistiqués savent manipuler. Elle pose une question simple : l'expéditeur est-il capable de répondre à une interaction humaine ?
Un bot, aussi sophistiqué soit-il, ne peut pas résoudre de manière autonome et à grande échelle un défi dynamique qui exige une action consciente. Cette propriété fondamentale rend le défi-réponse particulièrement efficace contre les campagnes de volume, qu'elles viennent de Phorpiex ou d'Emotet-NG.
Combinée à une liste blanche de correspondants légitimes (contacts connus, clients, partenaires), cette approche élimine le risque de faux positifs qui plombe les solutions de filtrage traditionnel, tout en neutralisant la quasi-totalité des envois automatisés à l'origine.
Se protéger concrètement en 2026 : les bonnes pratiques
- Auditer régulièrement les comptes e-mail compromis via des services de surveillance des fuites de données (Have I Been Pwned, plateformes CERT).
- Déployer une authentification e-mail complète : SPF strict, DKIM signé, DMARC en mode reject — indispensable mais insuffisant seul.
- Former les équipes au thread hijacking : apprendre à vérifier systématiquement l'adresse réelle d'un expéditeur, même dans une réponse à un fil connu.
- Adopter une solution anti-spam à défi-réponse pour bloquer le trafic automatisé à la source, sans dépendre de bases de signatures obsolètes.
- Segmenter les flux e-mail : séparer les adresses publiques (formulaires, contacts) des adresses internes métier pour réduire la surface d'exposition.
Conclusion : une menace botnet durable qui exige une réponse structurelle
Les botnets de 2026 — Emotet-NG, Phorpiex/Twizt et QakBot Reloaded — illustrent une réalité incontournable : les cybercriminels apprennent de chaque démantèlement et reviennent plus résilients. Necurs était centralisé ; ses successeurs sont distribués, polymorphes et spécialisés par verticale de fraude.
Protéger sa messagerie en 2026 ne peut pas reposer sur une seule technologie. C'est une architecture de défense en couches qu'il faut construire : authentification, filtrage comportemental, formation des équipes et, surtout, une solution capable de distinguer structurellement un humain d'un bot — ce que le défi-réponse accomplit nativement.
Vous souhaitez évaluer la résilience de votre messagerie face aux botnets actuels ? Lancez votre pilote FrozenSpam gratuitement ou consultez nos tarifs pour une protection opérationnelle dès aujourd'hui.