Source et contexte — VulnCheck: Le « VulnCheck Exploit Intelligence Report 2026 » rétrospecte l’exploitation des vulnérabilités en 2025 sur la base de 500+ sources et de jeux de données maison (KEV, XDB, Canaries). L’objectif est de prioriser le « ground truth » d’exploitation réelle plutôt que le bruit généré par la masse de CVE et de PoC, notamment dopée par l’IA.

• Chiffres clés (2025) 🚨

  • 48 174 CVE publiées dont 83% avec identifiant 2025; ~1% réellement exploitées dans la nature en fin d’année.
  • 14 400+ exploits pour des CVE 2025 (+16,5% YoY), majoritairement des PoC publics (≈98%).
  • 884 nouvelles vulnérabilités ajoutées au VulnCheck KEV (47,7% datées 2025) ; 29% exploitées le jour ou avant la publication CVE (vs 23,6% en 2024).
  • 39 CVE ransomware en 2025, dont 56,4% issues de 0‑day; 1/3 sans exploit public/commercial au 01/2026.
  • Baisse marquée des botnets (-53% de CVE ciblées), mais montée en puissance de RondoDox; Mirai en déclin.

• Vulnérabilités marquantes 🧩

  • React2Shell (CVE‑2025‑55182): RCE dans React Server Components; 236 exploits publics en 4 semaines, attaques massives via Next.js vulnérable par défaut, exécution en mémoire (webshells, payloads JS) rendant la détection hôte difficile. Activité large: Chine/DPRK/Iran, botnets (Gafgyt, Mirai, RondoDox), ransomware (Weaxor). >26 000 tentatives détectées par les Canaries fin janv. 2026.
  • Microsoft SharePoint « ToolShell »: chaîne de 4 CVE (CVE‑2025‑49704/49706 puis 53770/53771 suite à bypass) avec exploitation avant correctifs complets; CVE‑2025‑53770 reliée à 10 acteurs et ~6 familles ransomware (ex. Warlock, Qilin). Forte implication d’acteurs à nexus chinois.
  • SAP NetWeaver (CVE‑2025‑31324): téléversement de fichiers sans restriction, exploité en 0‑day; 9 acteurs et 4 ransomwares impliqués, activité antérieure à la divulgation formelle; exploitation prolongée observée jusque début 2026.
  • WinRAR (CVE‑2025‑8088): traversée de répertoires côté client; utilisée notamment par RomCom en écriture arbitraire suivie d’exécution différée (fichier LNK dans Démarrage).

• Acteurs, ransomware et botnets 🕷️

  • Attributions: 52 CVE 2025 avec acteurs nommés; +52% YoY pour les attributions nexus Chine; baisse marquée pour l’Iran. Cas notables: Earth Lamia (exploitation opportuniste de services exposés, ex. GitLab/TeamCity/SAP/React2Shell), RomCom (persistance de l’exploitation côté client: documents/apps, WinRAR), Cl0p (campagne Oracle E‑Business Suite via CVE‑2025‑61882/61884, exfiltration et extorsion à large échelle, zéros‑day ciblés).
  • Ransomware: 39 CVE nouvelles en 2025 (‑25% YoY) mais plus 0‑day; usages notables: Fortinet FortiOS CVE‑2024‑55591 (6 familles), SharePoint CVE‑2025‑53770 (~5 familles), SimpleHelp 2024‑57727; BYOVD observé (ex. CVE‑2025‑7771 ThrottleStop/rwdrv.sys, et drivers Paragon Software pour l’EoP Windows).
  • Botnets: recul global, mais RondoDox applique une stratégie « shotgun » multi‑CVE (2013–2025) avec adoption souvent différée après divulgation; forte activité sur React2Shell, XWiki (CVE‑2025‑24893), équipements IoT (Belkin/Edimax/LILIN), HPE OneView (CVE‑2025‑37164).

• Qualité des exploits et « AI slop » 🧪

  • Hausse des PoC générés par IA: nombreux dépôts non fonctionnels ou trompeurs, absorbés par des systèmes d’agrégation et résumés IA, créant des boucles de désinformation. Exemples: faux PoC initiaux de React2Shell; dépôts avec README surchargés/attributions CVE erronées; code de simulation sans logique d’exploitation.

• TTPs observées (extraits) 🛠️

  • Exploitation pré‑publication/jour J; chaînes patch‑bypass; téléversement de fichiers et désérialisation; exécution en mémoire (webshell JS) et living‑off‑the‑land.
  • Initial access via équipements en périphérie (VPN, SSLVPN, WAF, MFT), applications d’entreprise (SharePoint, SAP, Oracle EBS), clients (WinRAR).
  • BYOVD pour neutraliser EDR/AV; écriture arbitraire + exécution différée (Startup/LNK/VBS) côté client; botnet « exploit shotgun » multi‑CVE.

Conclusion: Rapport de rétrospective et analyse de menace centré sur l’exploitation réelle en 2025 afin d’aider à la priorisation et à la décision basée sur le « ground truth ».

🔗 Source originale : https://wwv.vulncheck.com/2026-vulncheck-exploit-intelligence-report