Selon Infostealers.com, dans une enquête menée par Hudson Rock, l’acteur « Zestix » (alias « Sentap ») vend sur des forums clandestins des accès et des jeux de données exfiltrés depuis les portails de partage de fichiers d’environ 50 grandes entreprises. L’accès provient d’identifiants récoltés par des malwares infostealers et d’un défaut d’authentification multifacteur (MFA), sans exploitation de zéro‑day.

• Vecteur et impact 🔐⚠️
L’attaque repose sur le vol d’identifiants via infostealers (ex. RedLine, Lumma, Vidar), l’agrégation des logs sur le dark web, puis l’usage direct des couples login/mot de passe vers des instances ShareFile, Nextcloud, OwnCloud non protégées par MFA. Des identifiants anciens non révoqués figurent dans les logs depuis des années, permettant des intrusions différées. Les cibles couvrent l’aviation, la défense/robotique, les infrastructures critiques, la santé, les réseaux télécoms et des cabinets juridiques.

• Profil de la menace 🕵️‍♂️
« Zestix », opérant aussi sous « Sentap », est un Initial Access Broker vendant des accès contre Bitcoin sur des forums russophones fermés. Des recherches de DarkSignal lient « Sentap » à un ressortissant iranien et à des affiliations avec le groupe cybercriminel Funksec, suivant un modèle opportuniste de « Trust Abuse ».

• Victimes mises en avant (exemples) ☁️

  • Pickett & Associates (ShareFile) — 139,1 GB de LiDAR/plans d’infrastructures électriques.
  • Intecro Robotics (TR) (fileshare.intecro.com.tr) — 11,5 GB de données défense/ITAR (STEP, dessins, programmes CNC).
  • Maida Health (BR) (Nextcloud) — 2,3 TB de dossiers de santé de la police militaire brésilienne.
  • Iberia Airlines (ShareFile) — 77 GB de documents de maintenance A320/A321 (AMP/ALS, ACDATA).
  • CRRC MA (ShareFile) — données d’ingénierie mass transit (schémas, SCADA, SSI).
  • Autres: K3G Solutions (conf réseau FTTH), IFLUSAC (plans MEP), GreenBills/NMCV/Verahealth (PHI), CiberC (contrats gouvernementaux), Sekisui House, Hydratec, Total ETO, Degewo, PSN, etc.

• Mécanique d’attaque et plateformes visées
Les plateformes ShareFile (Progress Software), Nextcloud et OwnCloud sont touchées par mauvaise configuration/absence de MFA plutôt que par vulnérabilité intrinsèque. Le flux d’attaque: infection (téléchargement malveillant) → exfiltration d’identifiantsindexation dans des bases criminellesrecherche d’URL cloud d’entrepriseconnexion directe (sans MFA) → vente des accès/données par Zestix/Sentap.

• IOCs et TTPs

  • IOCs (extraits du rapport) :
    • Malwares: RedLine, Lumma, Vidar.
    • Accès/portails cités (exemples): pickettusa.sharefile.com, fileshare.intecro.com.tr, nextcloud.maida.net, wwhgd.sharefile.com, iberiaexpress.sharefile.com, ltk-lametro.sharefile.com, owncloud.k3gsolutions.com.br, iflusac.com/nextcloud, greenyourbills.sharefile.com, ciberc.sharefile.com, nextcloud.psn.co.id, etc.
    • Aliases acteur: Zestix / Sentap.
  • TTPs:
    • Vol d’identifiants via infostealers et agrégation de logs darknet.
    • Recherche ciblée d’URLs d’entreprises (ShareFile/Nextcloud/OwnCloud).
    • Connexion sans MFA avec identifiants valides; exploitation d’identifiants anciens non rotés.
    • Vente d’accès comme IAB sur forums fermés; paiement en Bitcoin; activité sur forums russophones; modèle Trust Abuse; affiliation Funksec.

Conclusion: Il s’agit d’une analyse de menace documentant une campagne d’accès initial basé sur le vol d’identifiants et l’absence de MFA, avec un panorama des victimes, du mode opératoire et du profil de l’acteur.

🔗 Source originale : https://www.infostealers.com/article/dozens-of-global-companies-hacked-via-cloud-credentials-from-infostealer-infections-more-at-risk/