Selon le Halcyon Ransomware Research Center, l’administrateur de Sicarii a appelé les opérateurs pro-palestiniens et pro-régime iranien à migrer vers Baqiyat 313 Locker (BQTLock), faute de capacité à traiter l’afflux d’affiliés. BQTLock ouvre un accès RaaS gratuit via Telegram pour des actions idéologiques pro-palestiniennes, tandis que Sicarii annonce se recentrer sur l’influence hacktiviste.
Analyse des acteurs et cibles: BQTLock, divulgué publiquement en juillet 2025, serait développé par les hacktivistes pro-palestiniens Liwaa Mohammad et Karim Fayad (ZeroDayX/ZeroDayX1), sous l’ombrelle Cyber Islamic Resistance. BQTLock et Sicarii sont des RaaS distincts; Sicarii redirige désormais ses affiliés vers BQTLock pour des attaques motivées idéologiquement. BQTLock pratique la double extorsion et a publié des données d’entités des secteurs hôtellerie et éducation aux Émirats arabes unis, États-Unis et Israël. Des messages récents sur les canaux Cyber Islamic Resistance montrent un intérêt pour des cibles d’infrastructures critiques et militaires, incluant des assertions de fuites d’une base de données militaire israélienne et d’une liste d’agents du Mossad.
Accès initial et vulnérabilité: Le groupe Cyber Fattah Team revendique l’exploitation de React2Shell (CVE-2025-55182), une vulnérabilité critique d’exécution de code à distance non authentifiée impactant React Server Components (RSC) et le protocole RSC Flight. Découverte en décembre 2025, cette faille à faible complexité est largement abusée par des cybercriminels opportunistes, des acteurs étatiques et des opérateurs de ransomware. Le 20 décembre 2025, Cyber Fattah Team rapporte avoir utilisé un POC connu pour déployer BQTLock chez une victime basée en Israël; la victime n’a pas été listée sur le site de fuite BQTLock (paiement préalable présumé ou choix de non-publication par l’acteur).
Mitigations proposées par la source 🔧:
- Patch immédiat des composants serveur React affectés par CVE-2025-55182: prioriser les apps internet-exposées basées sur React 19.x et Next.js 15.x/16.x (App Router); appliquer les mises à jour éditeurs; auditer les frameworks embarquant react-server; restreindre l’accès aux endpoints RSC. (M1050, M1051)
- Confinement multi-plateformes (Windows, Linux, ESXi): segmenter les réseaux de management, restreindre l’accès aux plans de gestion hyperviseur, limiter les mouvements latéraux via protocoles admin et partages de fichiers. (M1030, M1035)
- Contrôles anti-ransomware dédiés: blocage de l’exécution malveillante (M1038), détection/prévention des comportements ransomware et de l’exfiltration (M1040), prévention de l’altération et des intrusions réseau (M1031).
IOCs et TTPs 🚨:
- TTPs clés:
- RaaS avec recrutement via Telegram et offre d’accès gratuit pour hacktivistes.
- Double extorsion et site de fuites de données.
- Exploitation d’une RCE non authentifiée (React2Shell, CVE-2025-55182) contre React Server Components / RSC Flight via requête HTTP craftée.
- Ciblage multi-OS (Windows, Linux) et VMware ESXi; secteurs touchés: hôtellerie, éducation; intérêt déclaré pour infrastructures critiques et militaire.
- IOCs (Telegram):
- t[.]me/BQTlock313 (BQTLock)
- t[.]me/Fuch0u (Affilié BQTLock)
- t[.]me/ZeroDayX1 (Affilié)
- t[.]me/BQTlock_raas (BQTLock)
- t[.]me/BQTnet (BQTLock)
- t[.]me/liwaamohammad# (Affilié)
- t[.]me/+nQki8_NL1KE0ZDky (Cyber Islamic Resistance)
- IOCs (SHA256 — échantillons BQTLock):
- c4dabcbd46d4f77ad8bbaa67212d9d89bdcf342586f7fce52c7f4687f001445c
- dd381ad3ecc0f0c6a13a1c8c8f7c3db18f6ce9edf01da3b6b2fdcc2de1030697
- 58c245451bb8f366a4493593e8e285f4d6c71868630b7bf118527370726c3b7b
- be77be20eaa84f87d4ca2511f5308b2d7777b7d1d86dc20b1e878137169be881
- fecb2225b77a4f76254bca22c625831f12e4c7775f0f6ff86bc435521a20dce8
- 4437ab9c5db3c5ebb9235b4adade504153fa39ca5774ac8c6145a0b7c97a97eb
- 82739edb254186cf0140b41b2d7da4fbed5cc7f29decdb0ded4df0574caadc7e
- 9c8de2114801160bc8fb966ec53709319e23254948eeeb401eb2470bcc063243
- de4dfba123806e40028e905409d77f2bfc2deee574a140ebf14f3a9e6311e09f
- 97d71c129b4a372d8a759785b6e6c2ba0777b3b521ee383088e8aba6c0e6c5e0
- 2d4e0276f86bdfd1a0198cf6ea6eff204be2b6bf5cfd14a6511d56000c15049f
- fd16d9d7c46e12deb48f2f23c9510628835fc416f6677e81fa4d802ea8e2bda8
- 2aae1d749353067f5afb5bebedb5249047f60e7aaa9684ac7c779a0908b1573c
- 6a09fbe1e2adf9ebd54ebfd30a5cd9e480442958b32a60cc13d615858ba05b11
- ae57e4be3ebcf78d4f569a3b7875c287d70f7d45876fcaaaebe3f5ca58cce600
- 3857744a651da4e431083180798041a5e888b09334a1a04c2c047216f471b0f6
- 6e999818079f6fd88384da648b5e3e1d4cc6a83c6b912f16b06425a2b175f725
- 11affbeb18f4d6edcc9a4be5a82f8e23dfc31178887e97119faa5ddc75990494
- IOCs (SHA256 — échantillons Sicarii):
- 73a8d89288568692b757b3aa796b79169be2dbedd5a309417e4f405bb7cd8a69
- 07448b617834e3f40137773ef3432b12efe72cd373217802e0266663a3253095
- 5a2f8aea67e3f89029383b46dfe2f5671902d0b2815b9cf5ab6e74fe6d406fb0
- 7a782c7fcfc2ef8231694216f998ba3078ce00bb06d2d27c734c6e65d9df9d86
- 64f6ebf9e3c285cc527b94080bccb7fc051137621870997220854907bb69bb69
- 4104542714022cb6ef34e9ee5affca07b9a38dbee49748f8630c5f50a26db8b2
- cce3821939b7cb77b9da3d59bbcb5978818d4937dd330d820102b012ffcebe4d
- a9cadb2c85a4d951f1c41d3dba6be6af876d364c5bba267a42f7839f40b45c0a
- b9691587dff4b09987354d50c5d7f9f99f57183bdb6115d1ed410ea0a2e86973
- 0f0509d1751185fc3d0fce5a578d29aa9d1fe219f29dacef2cf4200851ed541c
Conclusion: Il s’agit d’une analyse de menace visant à documenter le basculement d’affiliés de Sicarii vers BQTLock, à décrire les TTPs, à partager des IOCs et à relayer des mesures d’atténuation fournies par Halcyon.
🧠 TTPs et IOCs détectés
TTP
[‘RaaS avec recrutement via Telegram et offre d’accès gratuit pour hacktivistes’, ‘Double extorsion et site de fuites de données’, ‘Exploitation d’une RCE non authentifiée (React2Shell, CVE-2025-55182) contre React Server Components / RSC Flight via requête HTTP craftée’, ‘Ciblage multi-OS (Windows, Linux) et VMware ESXi’, ‘Intérêt pour infrastructures critiques et militaires’]
IOC
{’telegram’: [’t.me/BQTlock313’, ’t.me/Fuch0u’, ’t.me/ZeroDayX1’, ’t.me/BQTlock_raas’, ’t.me/BQTnet’, ’t.me/liwaamohammad#’, ’t.me/+nQki8_NL1KE0ZDky’], ‘sha256’: [‘c4dabcbd46d4f77ad8bbaa67212d9d89bdcf342586f7fce52c7f4687f001445c’, ‘dd381ad3ecc0f0c6a13a1c8c8f7c3db18f6ce9edf01da3b6b2fdcc2de1030697’, ‘58c245451bb8f366a4493593e8e285f4d6c71868630b7bf118527370726c3b7b’, ‘be77be20eaa84f87d4ca2511f5308b2d7777b7d1d86dc20b1e878137169be881’, ‘fecb2225b77a4f76254bca22c625831f12e4c7775f0f6ff86bc435521a20dce8’, ‘4437ab9c5db3c5ebb9235b4adade504153fa39ca5774ac8c6145a0b7c97a97eb’, ‘82739edb254186cf0140b41b2d7da4fbed5cc7f29decdb0ded4df0574caadc7e’, ‘9c8de2114801160bc8fb966ec53709319e23254948eeeb401eb2470bcc063243’, ‘de4dfba123806e40028e905409d77f2bfc2deee574a140ebf14f3a9e6311e09f’, ‘97d71c129b4a372d8a759785b6e6c2ba0777b3b521ee383088e8aba6c0e6c5e0’, ‘2d4e0276f86bdfd1a0198cf6ea6eff204be2b6bf5cfd14a6511d56000c15049f’, ‘fd16d9d7c46e12deb48f2f23c9510628835fc416f6677e81fa4d802ea8e2bda8’, ‘2aae1d749353067f5afb5bebedb5249047f60e7aaa9684ac7c779a0908b1573c’, ‘6a09fbe1e2adf9ebd54ebfd30a5cd9e480442958b32a60cc13d615858ba05b11’, ‘ae57e4be3ebcf78d4f569a3b7875c287d70f7d45876fcaaaebe3f5ca58cce600’, ‘3857744a651da4e431083180798041a5e888b09334a1a04c2c047216f471b0f6’, ‘6e999818079f6fd88384da648b5e3e1d4cc6a83c6b912f16b06425a2b175f725’, ‘11affbeb18f4d6edcc9a4be5a82f8e23dfc31178887e97119faa5ddc75990494’, ‘73a8d89288568692b757b3aa796b79169be2dbedd5a309417e4f405bb7cd8a69’, ‘07448b617834e3f40137773ef3432b12efe72cd373217802e0266663a3253095’, ‘5a2f8aea67e3f89029383b46dfe2f5671902d0b2815b9cf5ab6e74fe6d406fb0’, ‘7a782c7fcfc2ef8231694216f998ba3078ce00bb06d2d27c734c6e65d9df9d86’, ‘64f6ebf9e3c285cc527b94080bccb7fc051137621870997220854907bb69bb69’, ‘4104542714022cb6ef34e9ee5affca07b9a38dbee49748f8630c5f50a26db8b2’, ‘cce3821939b7cb77b9da3d59bbcb5978818d4937dd330d820102b012ffcebe4d’, ‘a9cadb2c85a4d951f1c41d3dba6be6af876d364c5bba267a42f7839f40b45c0a’, ‘b9691587dff4b09987354d50c5d7f9f99f57183bdb6115d1ed410ea0a2e86973’, ‘0f0509d1751185fc3d0fce5a578d29aa9d1fe219f29dacef2cf4200851ed541c’]}
🔗 Source originale : https://www.halcyon.ai/ransomware-alerts/pro-iranian-ransomware-operators-tactical-shift-from-sicarii-to-bqtlock