Source: GreyNoise Intelligence — Analyse de trafic capturé par le Global Observation Grid (GOG) sur ~90 jours (20 oct. 2025 – 19 janv. 2026). L’étude met en évidence une énumération de plugins WordPress via des requêtes ciblant /wp-content/plugins/*/readme.txt, précédemment classées à tort en simple « Web Crawler ».

  • Volume et périmètre: 40 090 événements uniques (combinaisons jour+IP+plugin), ~91K sessions totales; 994 IPs, 145 ASNs, 706 plugins ciblés; 84 JA4T et 131 JA4H; médiane quotidienne 282 enregistrements, pic à 6 550. Activité inégalement répartie entre les plugins, avec une attention soutenue sur certains.

  • Plugins les plus visés: post-smtp (observé 92/92 jours, 190 IPs), loginizer (77 jours, 136 IPs), litespeed-cache (74 jours, 135 IPs), seo-by-rank-math (71 jours, 135 IPs), elementor (75 jours, 107 IPs), duplicator (71 jours, 94 IPs). Un groupe de 91 IPs “single-plugin specialists” ne cible que post-smtp, indiquant une campagne coordonnée visant l’infrastructure email (abus d’expéditeurs à forte réputation après compromission). Références CVE citées: pour LiteSpeed Cache, CVE-2025-12450 (XSS réfléchi) et, dans les recommandations, CVE-2024-28000; pour post-smtp, une faille de « Missing Authorization to Account Takeover via Unauthenticated Email Log Disclosure » est mentionnée comme récente et sévère.

  • Infrastructures et empreintes: fortes concentrations depuis AS135377 (UCLOUD HK) — cluster coordonné (123 IPs) — et AS63949 (Akamai/Linode) — actif tous les jours. Autres réseaux notables: AS13335 (Cloudflare), AS211680 (NSEC Portugal), AS14061 (DigitalOcean). Empreintes JA4T dominantes: 65495_2-4-8-1-3_65495_7 (trames jumbo/MTU custom, inhabituel) et 64240_2-4-8-1-3_1460_7 (cohérent WSL Ubuntu 22.04). Côté JA4H, la famille ge11nn040000_* domine, signe d’outillage partagé; la variabilité JA4H sur une même IP suggère évasion ou multi-outils.

  • Pics et comportements: le 7 déc. 2025, explosion à 6 550 sessions, dont 96% via une seule IP (112.134.208.214, AS9329 Sri Lanka Telecom), 334 plugins scannés sur 2 jours (5 et 7 déc.) avec 4 JA4H distincts, puis disparition. Un pic secondaire le 22 nov. 2025: 2 440 enregistrements sur 103 IPs / 15 ASNs, mené par M247 Europe (1 IP, 1 595 enregistrements). Activité plus forte le week-end (moy. 756 vs 310 en semaine, x2,4), indicateur d’automatisation/scheduling. Segmentation des comportements: Moderate Scanner (370), Single-Plugin Opportunist (346), Burst Multi-Plugin (152), Single-Plugin Specialist (91, tous post-smtp), Mass Scanner (32). 29 IPs actives 30+ jours (persistence) surtout depuis Akamai/Linode et OVH (AS16276).

  • Mesures annoncées: création d’un tag « WordPress Plugin Enumeration » dans GreyNoise pour distinguer cette activité du bruit « Web Crawler » et faciliter: filtrage, suivi des plugins ciblés (via chemins dans l’API), corrélations avec timelines CVE. Recommandations listées: prioriser les correctifs pour LiteSpeed Cache (CVE-2024-28000), Post SMTP Mailer, Loginizer; auditer les plugins installés face à la liste des plus ciblés et supprimer l’inutile; vérifier l’infrastructure email; côté chasse: alertes sur JA4T 65495_2-4-8-1-3_65495_7 et JA4H ge11nn040000_*, renforcer la surveillance le week-end, et surveiller les réseaux AS135377 (UCLOUD HK) et AS9329 (Sri Lanka Telecom).

IOC (indicateurs) 🧩:

  • IP: 112.134.208.214 (AS9329 — Sri Lanka Telecom)
  • ASNs impliqués: AS13335 (Cloudflare), AS135377 (UCLOUD HK), AS63949 (Akamai/Linode), AS211680 (NSEC Portugal), AS14061 (DigitalOcean), AS16276 (OVH)
  • Empreintes JA4T: 65495_2-4-8-1-3_65495_7; 64240_2-4-8-1-3_1460_7
  • Empreinte JA4H: famille ge11nn040000_*

TTPs (techniques) 🔍:

  • Énumération de plugins WordPress via /wp-content/plugins/*/readme.txt
  • Mass scanning multi-plugins et scans opportunistes/spécialisés (focus post-smtp)
  • Scheduling le week-end; persistence sur 30+ jours depuis infra cloud
  • Évasion via changement d’empreintes JA4H; MTU jumbo et empreintes JA4 personnalisées
  • Abus d’infrastructure email après compromission du plugin Post SMTP

Type d’article: Publication de recherche présentant des observations, métriques, IOCs/TTPs, et l’introduction d’un nouveau tag de détection.

🧠 TTPs et IOCs détectés

TTP

[‘Énumération de plugins WordPress via /wp-content/plugins/*/readme.txt’, ‘Mass scanning multi-plugins et scans opportunistes/spécialisés (focus post-smtp)’, ‘Scheduling le week-end’, ‘Persistence sur 30+ jours depuis infra cloud’, ‘Évasion via changement d’empreintes JA4H’, ‘MTU jumbo et empreintes JA4 personnalisées’, ‘Abus d’infrastructure email après compromission du plugin Post SMTP’]

IOC

{‘ip’: [‘112.134.208.214’], ‘asn’: [‘AS13335’, ‘AS135377’, ‘AS63949’, ‘AS211680’, ‘AS14061’, ‘AS16276’], ‘ja4t’: [‘65495_2-4-8-1-3_65495_7’, ‘64240_2-4-8-1-3_1460_7’], ‘ja4h’: [‘ge11nn040000_*’]}

🔗 Source originale : https://www.labs.greynoise.io/grimoire/2026-01-19-creepy-crawlers-hunting-those-who-hunt-for-wordpress-plugins/