Baptisé Mariposa, ce qui signifie littéralement Papillon en Français, les trois opérateurs de ce botnet à plus de 12,7 millions d'ordinateurs sous contrôle viennent d'être arrêtés en Espagne. Ils sont soupçonnés d'être les instigateurs de ce vaste réseau informatique et risquent jusqu'à six ans de prison.

Ces derniers sont toutefois considérés comme atypiques, dans le sens où ils n'ont pas de connaissances techniques très avancées en matière de piratage informatique. Pour Panda Security qui a participé à l'enquête, c'est un fait d'autant plus inquiétant : " cela démontre que la distribution de malware est devenue sophistiquée et efficace, permettant à des cybercriminels relativement peu expérimentés de causer des dégâts majeurs et des pertes financières ".

Apparu fin 2008, le botnet Mariposa a été fermé et rendu inactif le 23 décembre 2009. Il a réussi à prendre de l'ampleur grâce à la diffusion d'un ver via des réseaux P2P, des périphériques amovibles et des liens MSN. À ses débuts, c'est une vulnérabilité dans Internet Explorer qui a été exploitée. Plus de 190 pays ont été touchés avec dans le tableau de chasse plus de la moitié des 1 000 entreprises les plus riches du monde.

Une fois infecté par Mariposa, le botmaster pouvait installer divers malwares sur l'ordinateur devenu zombie. Les cybercriminels ont tiré bénéfice de leur botnet en revendant certaines de ses parties, des identifiants de connexion volés ou encore en utilisant des informations bancaires dérobées.

Pour le démantèlement du botnet, un vaste effort a été déployé avec le concours de Panda Security donc, mais aussi de Defence Intelligence, du FBI et de la Garde civile espagnole. Les cybercriminels ont été confondus par quelques traces laissées. Ils avaient notamment enregistré des domaines impliqués dans le contrôle-commande du botnet sous leur propre nom. Dans cette affaire, l'aide d'un fournisseur d'accès à Internet a été nécessaire.

Récemment, Microsoft a indiqué être parvenu au démantèlement du botnet Waledac.