Selon Cyber Security News, des chercheurs en sécurité ont mis au jour une opération IPTV illicite à grande échelle s’appuyant sur plus de 1 100 domaines et 10 000 adresses IP pour diffuser des contenus premium non autorisés.

L’opération est attribuée à des entités dont XuiOne, Tiyansoft et l’individu Nabi Neamati. Elle s’appuie sur des panneaux de contrôle compromis et une infrastructure à rotation rapide pour résister aux tentatives de démantèlement. L’impact est l’hébergement et la distribution non autorisés de flux premium à grande échelle. 🛰️

Côté techniques, les acteurs exploitent des identifiants par défaut sur cPanel/Plesk, déploient des scripts obfusqués en Base64 pour installer des backdoors, et assurent une persistance via des fichiers config.php modifiés. Le logiciel open source Stalker Portal et Xtream UI est modifié pour automatiser l’authentification et distribuer les flux. 🔧

La chaîne d’infection est multi-étapes : modules de reconnaissance qui énumèrent les comptes et exfiltrent des identifiants, puis installation d’une porte dérobée établissant des reverse shells vers des serveurs C2. L’hébergement bulletproof et la rotation dynamique des IP permettent de remplacer rapidement les ressources supprimées, rendant les méthodes de perturbation classiques peu efficaces. 🔄

IOCs et TTPs

  • IOCs connus dans l’extrait : non fournis (volumes mentionnés : >1 100 domaines, 10 000 IP)
  • TTPs clés :
    • Exploitation d’identifiants par défaut sur cPanel/Plesk
    • Scripts Base64 obfusqués pour l’implantation de backdoors
    • Persistance via config.php modifié
    • Reconnaissance et exfiltration d’identifiants (harvesting)
    • Reverse shells vers C2
    • Rotation dynamique d’IP et hébergement bulletproof
    • Modification de Stalker Portal et Xtream UI pour l’authentification et la distribution

Il s’agit d’une analyse de menace visant à documenter l’architecture, les techniques d’exploitation et la résilience opérationnelle de ce réseau IPTV illicite.

🧠 TTPs et IOCs détectés

TTPs

[“Exploitation d’identifiants par défaut sur cPanel/Plesk”, “Scripts Base64 obfusqués pour l’implantation de backdoors”, ‘Persistance via config.php modifié’, “Reconnaissance et exfiltration d’identifiants (harvesting)”, ‘Reverse shells vers C2’, “Rotation dynamique d’IP et hébergement bulletproof”, “Modification de Stalker Portal et Xtream UI pour l’authentification et la distribution”]

IOCs

[‘Plus de 1\u202f100 domaines’, ‘10\u202f000 adresses IP’]

🔗 Source originale : https://cybersecuritynews.com/massive-iptv-hosted-across-more-than-1000-domains/

🖴 Archive : https://web.archive.org/web/20250907200149/https://cybersecuritynews.com/massive-iptv-hosted-across-more-than-1000-domains/