Selon DataBreach.com, un groupe se faisant appeler 0apt tente de bâtir une réputation de gang ransomware en publiant d’emblée une liste de 190 « victimes » et en proposant des téléchargements qui ne contiennent en réalité que du bruit aléatoire, créant une illusion de fuite massive sans aucune donnée exfiltrée.

Leur site de fuites au style minimaliste propose un bouton de téléchargement par « victime », mais les fichiers servis sont en fait des flux infinis de /dev/random, générés à la volée via Tor. L’absence de magic bytes fait passer ces flux pour de gros fichiers chiffrés, et la taille annoncée (centaines de Go) piége l’analyste qui peut passer des jours à télécharger un bruit binaire inutile.

Sur le plan psychologique, 0apt mise sur la peur réputationnelle: l’apparition d’un nom avec un lien de 200 Go peut suffire à déclencher des réactions d’extorsion par bluff, surtout après l’ajout de « blue chips » comme Keysight Technologies, Hologic, Align Technology et The Mayo Clinic à une liste initialement remplie de cibles « garbage ». En inondant l’écosystème avec 190 « victimes », 0apt a aussi piégé les agrégateurs et bots de veille, amplifiant artificiellement sa notoriété.

La réalité décrite est celle d’un mirage à grande échelle: pas d’exploits, pas d’accès réseau, pas de données volées — uniquement une tactique visant à monnayer le retrait d’un nom d’une fausse liste. Mise à jour: le groupe a été retiré de ransomware.live, avec la mention que ses entrées sont invérifiables et semblent aléatoires.

TTPs observés:

  • Hébergement d’un site de « leaks » sur le dark web (via Tor), interface minimaliste avec boutons de téléchargement 🎭
  • Diffusion de flux /dev/random en continu, simulant des archives chiffrées massives (pas de magic bytes)
  • Masquage de la taille pour afficher des centaines de Go et épuiser l’analyse (lenteur de Tor exploitée)
  • Surenchère médiatique: ajout de grandes marques pour accroître la pression et la crédibilité apparente
  • Flood de 190 « victimes » pour tromper les agrégateurs/bots de veille

IOCs:

  • Aucuns indicateurs techniques (IP, domaines, hachages) fournis dans l’article.

Il s’agit d’une analyse de menace visant à documenter une tactique d’extorsion par tromperie et son impact sur la perception publique et les flux d’information.

🧠 TTPs et IOCs détectés

TTP

[‘Hébergement d’un site de « leaks » sur le dark web (via Tor), interface minimaliste avec boutons de téléchargement’, ‘Diffusion de flux /dev/random en continu, simulant des archives chiffrées massives (pas de magic bytes)’, ‘Masquage de la taille pour afficher des centaines de Go et épuiser l’analyse (lenteur de Tor exploitée)’, ‘Surenchère médiatique: ajout de grandes marques pour accroître la pression et la crédibilité apparente’, ‘Flood de 190 « victimes » pour tromper les agrégateurs/bots de veille’]

IOC

Aucuns indicateurs techniques (IP, domaines, hachages) fournis dans l’article.

🔗 Source originale : https://databreach.com/news/44-how-0apt-is-using-random-noise-to-fake-a-ransomware-empire