Source: VulnCheck — Exploit Intelligence Report 2026. Ce rapport rétrospectif et chiffré dresse le panorama de l’exploitation des vulnérabilités en 2025 (500+ sources, 2 douzaines d’indices VulnCheck), en priorisant l’exploitation in‑the‑wild, la maturité des exploits et le comportement des attaquants.

  • Chiffres clés et tendances

    • 48 174 CVE publiées en 2025 (83% avec identifiant 2025) ; ~1% exploitées in‑the‑wild à fin 2025.
    • 14 400+ exploits pour des CVE 2025 (+16,5% YoY), mais >98% restent des PoC non weaponized ; 417 exploits weaponized (majoritairement privés/commerciaux).
    • 884 vulnérabilités ajoutées au VulnCheck KEV en 2025 (47,7% avec identifiant 2025) ; 28,96% exploitées le jour de la publication CVE ou avant.
    • Ransomware: 39 CVE 2025 attribuées, 56,4% découvertes via exploitation zero‑day ; 1/3 sans exploit public/commercial au 01/2026.
    • Montée du bruit IA: prolifération de faux/faux‑positifs PoC générés par IA, contaminant l’écosystème (ex: premiers PoC React2Shell non fonctionnels largement relayés).

  • Vulnérabilités phares 2025

    • React2Shell — CVE‑2025‑55182 (RCE React Server Components): 236 exploits publics en 4 semaines (record), Next.js vulnérable par défaut, exécution en mémoire (webshell/reverse shell) difficile à tracer côté hôte ; botnets observés (Gafgyt, Mirai, RondoDox) et multiples acteurs (dont Chine/DPRK/Iran). VulnCheck Canaries: 26 000+ tentatives fin janv. 2026.
    • Microsoft SharePoint « ToolShell »: chaîne de 4 CVE — CVE‑2025‑49704/49706 (patchs initiaux) puis CVE‑2025‑53770/53771 (contournements/patch bypass). Exploitation pré‑patch complet, 10+ acteurs (not. Chine‑nexus) et 6 familles ransomware (p.ex. Warlock, Qilin, 4L4MD4R) ciblant les installations on‑prem.
    • SAP NetWeaver — CVE‑2025‑31324 (upload de fichier non restreint) exploité en zero‑day, visé par 9 acteurs et 4 ransomwares ; activité antérieure à la divulgation relevée par plusieurs fournisseurs.
    • WinRAR — CVE‑2025‑8088 (path traversal): visé par acteurs Chine/DPRK/Russie ; nécessite chaîne d’exécution (ex: Startup folder/lnk) — tactique adoptée par RomCom.

  • Acteurs, ransomware et TTPs marquants

    • Menaces étatiques: 62 groupes actifs, 52 CVE 2025 avec attribution TA ; +52% YoY pour les attributions Chine‑nexus ; baisse nette côté Iran. Earth Lamia illustre l’opportunisme (exploitation de surfaces exposées: SAP CVE‑2025‑31324, React2Shell).
    • Ransomware: baisse du nombre de nouvelles CVE vs 2024, mais plus de zero‑days; Fortinet FortiOS CVE‑2024‑55591 (auth bypass) a le plus de familles associées (6). Cas notables: ThrottleStop rwdrv.sys — CVE‑2025‑7771 (BYOVD) pour tuer les EDR (Akira) ; Velociraptor — CVE‑2025‑6264 (persistance possible) ; Fortra GoAnywhere MFT — CVE‑2025‑10035 inexploitable publiquement sans clé privée.
    • Cl0p: campagne Oracle E‑Business Suite avec CVE‑2025‑61882 (RCE multi‑CWE) et patch bypass CVE‑2025‑61884 ; fuite d’exploit par Shiny Hunters ; Mandiant observe activité dès juillet 2025.

  • Botnets & écosystème exploits

    • Botnets: 23 CVE 2025 exploitées (‑53% YoY), fort recul de Mirai ; RondoDox domine avec stratégie « shotgun » (large spectre CVE 2013–2025), exploitation soutenue de React2Shell, XWiki (CVE‑2025‑24893), HPE OneView (CVE‑2025‑37164), etc.
    • Sources d’exploits: CNAs 73,8%, GitHub 14,4%, blogs 8,7% ; top 100 CVE (par volume d’exploits) = >11% des exploits 2025 ; MITRE et VulDB figurent parmi les plus gros apporteurs CNA.

  • IOCs et TTPs

    • IOCs (sélection):
      • CVE: CVE‑2025‑55182, CVE‑2025‑49704/49706/53770/53771, CVE‑2025‑31324, CVE‑2025‑8088, CVE‑2024‑55591, CVE‑2025‑61882/61884, CVE‑2025‑7771, CVE‑2025‑6264, CVE‑2025‑37164.
      • Botnets: RondoDox, Mirai, Gafgyt, Fbot, Moobot.
      • Ransomware/groupes: Warlock, Qilin, 4L4MD4R, DragonForce, Cl0p, Akira, DeadLock, Hunters International, NightSpire, RansomHub, SuperBlack, RansomEXX, BianLian, Play, Medusa, RomCom.
      • Drivers/artefacts: rwdrv.sys (ThrottleStop), mraml.sys, truesight.sys, rentdrv2.sys ; chemins Windows: %TEMP%, Startup folder + .LNK/.VBS.
    • TTPs (exemples): exploitation pré‑publication, zero‑day financiers, patch bypass, BYOVD pour tuer EDR, chaînes client‑side (écriture arbitraire → exécution différée), deserialization RCE, path traversal, SSRF, file upload/write, scan/exploitation de masse côté botnets.

Type d’article: rapport annuel d’intelligence sur l’exploitation des vulnérabilités, visant à prioriser le risque réel et documenter les tendances d’attaque.

🔗 Source originale : https://wwv.vulncheck.com/hubfs/Research/2026-VulnCheck-Exploit-Intelligence-Report.pdf