Source: Hudson Rock — Analyse publiée en février 2026 détaillant le lien entre une infection infostealer (11 janv. 2026) sur un poste personnel d’un employé IT de Conpet et le déploiement ultérieur du ransomware Qilin, revendiqué avec près de 1 To de données volées.

  • Conpet, opérateur national roumain d’oléoducs, a confirmé une cyberattaque majeure. Le groupe de ransomware Qilin revendique le vol d’environ 1 To de données (documents internes, financiers). Hudson Rock identifie un « Patient Zero » via sa plateforme Cavalier : une machine personnelle nommée DESKTOP-TCR5GQM utilisée par un employé IT de Conpet et infectée par un infostealer le 11 janvier 2026 (détectée le 12 janvier par Hudson Rock). 🔍

  • Les logs d’exfiltration montrent l’usage de ce poste pour accéder à des systèmes critiques de Conpet, révélant 268 identifiants dont des accès à Outlook Web App (OWA), à la supervision Cacti, et surtout au serveur WSUS. Selon l’analyse, ces éléments tracent une chaîne d’attaque plausible allant de l’accès initial par OWA, à la reconnaissance via Cacti, jusqu’au déploiement massif de la charge Qilin via WSUS comme « fausse mise à jour ». 🧭

  • L’élément déterminant est l’accès au WSUS, serveur de mises à jour Windows, qui, une fois compromis, permet de pousser le rançongiciel en tant qu’update à l’ensemble du parc. Hudson Rock souligne aussi la dimension « Shadow IT » : le même poste personnel servait à des activités annexes (ex. gadgetfix.ro, compascoffee.ro), créant un pont involontaire vers l’infrastructure critique de Conpet. ⚠️

  • Chronologie clé: infection le 11 janv. 2026, détection par Hudson Rock le 12 janv., et communication publique du rançongiciel le 6 fév. 2026, laissant potentiellement plusieurs semaines aux attaquants pour l’exploration et l’exploitation des identifiants volés.

IOCs et artefacts:

  • Machine/utilisateur: DESKTOP-TCR5GQM, compte GadgetFix
  • Domaines/URLs internes: webmail.conpet.ro (OWA), cacti.conpet.ro (Cacti), wsus01.intranet.conpet.ro (WSUS), patrimoniu.conpet.ro, guest.intranet.conpet.ro, conpet-prt11…:8080 (admin imprimantes)
  • Comptes mentionnés: .@conpet.ro (OWA), monitorizare@it… (Cacti), ******** / R******** (WSUS), root / r****** (guest.intranet), admin (imprimantes)
  • Acteur: Qilin (groupe ransomware)
  • Autres domaines liés à l’utilisateur: gadgetfix.ro, compascoffee.ro

TTPs observés/probables:

  • Accès initial via identifiants valides sur OWA
  • Reconnaissance via Cacti (topologie, IPs, disponibilité)
  • Mouvement latéral/impact via compromission WSUS et fausse mise à jour déployant Qilin
  • Exploitation d’identifiants VPN/monitoring/update exfiltrés par un infostealer

Conclusion: Il s’agit d’une analyse de menace visant à retracer le vecteur initial, la chaîne d’attaque probable et à présenter la détection précoce et la visibilité fournies par Hudson Rock sur l’intrusion.

🧠 TTPs et IOCs détectés

TTP

[‘Accès initial via identifiants valides sur OWA’, ‘Reconnaissance via Cacti (topologie, IPs, disponibilité)’, ‘Mouvement latéral/impact via compromission WSUS et fausse mise à jour déployant Qilin’, ‘Exploitation d’identifiants VPN/monitoring/update exfiltrés par un infostealer’]

IOC

{‘machine/utilisateur’: ‘DESKTOP-TCR5GQM, compte GadgetFix’, ‘domaines/URLs internes’: [‘webmail.conpet.ro (OWA)’, ‘cacti.conpet.ro (Cacti)’, ‘wsus01.intranet.conpet.ro (WSUS)’, ‘patrimoniu.conpet.ro’, ‘guest.intranet.conpet.ro’, ‘conpet-prt11…:8080 (admin imprimantes)’], ‘comptes mentionnés’: [’.@conpet.ro (OWA)’, ‘monitorizare@it… (Cacti)’, ‘****** / R******** (WSUS)’, ‘root / r******** (guest.intranet)’, ‘admin (imprimantes)’], ‘autres domaines liés à l’utilisateur’: [‘gadgetfix.ro’, ‘compascoffee.ro’]}

🔗 Source originale : https://www.infostealers.com/article/romanias-oil-pipeline-operator-hacked-how-an-infostealer-infection-paved-the-way-for-qilins-ransomware-attack/