GreyNoise a rapporté une augmentation notable des activités de scan ciblant les systèmes MOVEit Transfer depuis le 27 mai 2025. Avant cette date, l’activité de scan était minimale, avec généralement moins de 10 IPs observés par jour.
Au cours des 90 derniers jours, 682 IPs uniques ont été identifiés par le tag MOVEit Transfer Scanner de GreyNoise. Parmi ces IPs, 303 (44%) proviennent de Tencent Cloud (ASN 132203), ce qui en fait l’infrastructure la plus active. D’autres fournisseurs sources incluent Cloudflare (113 IPs), Amazon (94), et Google (34).
Les principaux pays de destination des scans incluent le Royaume-Uni, les États-Unis, l’Allemagne, la France, et le Mexique. La majorité des IPs des scanners sont géolocalisées aux États-Unis.
Cet article est une analyse technique visant à informer sur l’augmentation des scans et à identifier les infrastructures les plus actives dans cette activité.
🧠 TTP et IOC détecté
TTP
T1595.002 - Active Scanning: Vulnerability Scanning
IOC
[‘Tencent Cloud (ASN 132203)’, ‘Cloudflare’, ‘Amazon’, ‘Google’, ‘Royaume-Uni’, ‘États-Unis’, ‘Allemagne’, ‘France’, ‘Mexique’]
🔗 Source originale : https://www.greynoise.io/blog/surge-moveit-transfer-scanning-activity