Source: GreyNoise Labs — Dans un billet de recherche s’appuyant sur une infrastructure honeypot Ollama, GreyNoise rapporte 91 403 sessions d’attaque (octobre 2025–janvier 2026) et détaille deux campagnes distinctes, corroborant et étendant les constats de Defused. Un SITREP avec IOCs a été transmis aux clients.

• Campagne SSRF (oct. 2025–janv. 2026) 🚨: exploitation de SSRF pour forcer des connexions sortantes vers l’infrastructure des attaquants. Deux vecteurs ciblés: Ollama (model pull) via injection d’URL de registre malveillantes et Twilio SMS webhook (MediaUrl) provoquant des connexions sortantes. Forte poussée à Noël (1 688 sessions en 48 h). Utilisation de l’infrastructure OAST de ProjectDiscovery pour valider les callbacks SSRF. Un JA4H unique (po11nn060000…) dans 99% des attaques indique un outillage commun, probablement Nuclei; 62 IPs dans 27 pays, empreintes cohérentes suggérant des VPS plutôt qu’un botnet. Évaluation: probablement chercheurs/bug bounty « grey-hat ».

• Campagne d’énumération (dès 28 déc. 2025) 🔎: reconnaissance systématique de 73+ endpoints LLM par deux IPs, générant 80 469 sessions en 11 jours pour trouver des proxys mal configurés exposant des APIs commerciales. Tests des formats OpenAI-compatibles et Google Gemini; familles visées: OpenAI (GPT-4o), Anthropic (Claude), Meta (Llama 3.x), DeepSeek (DeepSeek-R1), Google (Gemini), Mistral, Alibaba (Qwen), xAI (Grok). Requêtes de fingerprinting volontairement anodines (ex. “hi”, “How many states are there in the United States?”, “How many letter r are in the word strawberry?”, “What is todays date? What model are you?”, et chaînes vides). Infrastructures impliquées: 45.88.186.70 (AS210558, 1337 Services GmbH) avec 49 955 sessions et 204.76.203.125 (AS51396, Pfcloud UG) avec 30 514 sessions; ces IPs sont déjà associées à des scans/exploitations de CVE-2025-55182 (React2Shell), CVE-2023-1389, et >200 vulnérabilités (plus de 4 M d’observations). Évaluation: acteur professionnel bâtissant des listes de cibles.

• IOCs et empreintes à bloquer 🧪:

  • Empreintes réseau: JA4H: po11nn060000… (outillage SSRF) ; JA4T: 64240… (WSL Ubuntu 22.04) ; JA4T: 65495… (Jumbo MTU VPN/tunnel).
  • Domaines de callbacks OAST (motifs TLD, 580 domaines observés): *.oast.live, *.oast.me, *.oast.online, *.oast.pro, *.oast.fun, *.oast.site, *.oast.today.
  • Adresses IP: SSRF (top 3): 134.122.136.119, 134.122.136.96 (AS152194, Japon) ; 112.134.208.214 (AS9329, Sri Lanka) ; 146.70.124.188, 146.70.124.165 (AS9009, Roumanie). Énumération LLM: 45.88.186.70 (AS210558, États‑Unis), 204.76.203.125 (AS51396, Pays‑Bas).
  • ASNs saillants: AS152194, AS210558, AS51396.

• Mesures proposées par le rapport 🛡️:

  • Verrouiller les pulls de modèles (Ollama: registres de confiance uniquement).
  • Filtrage d’Egress pour empêcher les callbacks SSRF.
  • Détection de patterns d’énumération (rafales multi‑endpoints, requêtes de fingerprinting).
  • Blocage DNS des domaines OAST.
  • Rate‑limit par ASN (AS152194, AS210558, AS51396).
  • Surveillance des empreintes JA4 pour repérer l’automatisation.

Type d’article: analyse de menace visant à documenter des campagnes actives contre des déploiements LLM, fournir des IOCs et décrire les tactiques d’attaque observées.

🧠 TTPs et IOCs détectés

TTP

T1190: Exploit Public-Facing Application, T1071.001: Application Layer Protocol: Web Protocols, T1595: Active Scanning, T1595.002: Active Scanning: Vulnerability Scanning, T1078: Valid Accounts, T1046: Network Service Scanning, T1580: Cloud Infrastructure Discovery, T1587.001: Develop Capabilities: Malware, T1587.002: Develop Capabilities: Tool, T1587.003: Develop Capabilities: Exploit, T1589.001: Gather Victim Identity Information: Credentials, T1589.002: Gather Victim Identity Information: Email Addresses, T1589.003: Gather Victim Identity Information: Employee Names

IOC

{‘hash’: ‘JA4H: po11nn060000…, JA4T: 64240…, JA4T: 65495…’, ‘domain’: ‘*.oast.live, *.oast.me, *.oast.online, *.oast.pro, *.oast.fun, *.oast.site, *.oast.today’, ‘ip’: ‘134.122.136.119, 134.122.136.96, 112.134.208.214, 146.70.124.188, 146.70.124.165, 45.88.186.70, 204.76.203.125’}

🔗 Source originale : https://www.greynoise.io/blog/threat-actors-actively-targeting-llms