🔍 Contexte

Article publiĂ© le 3 avril 2026 par Tammy Harper, Senior Threat Intelligence Researcher chez Flare.io, sur LinkedIn. L’article prĂ©sente une analyse technique d’un outil offensif commercial nommĂ© Pentagram, commercialisĂ© comme solution automatisĂ©e d’acquisition de comptes VPN d’entreprise.

đŸ› ïž Description de l’outil

Pentagram est une plateforme modulaire composĂ©e d’un panel web centralisĂ© et de workers distribuĂ©s. La communication backend s’effectue via I2P pour assurer l’anonymat de l’opĂ©rateur. Les binaires distribuĂ©s incluent pentagram.exe et i2pd.exe.

Le systĂšme est vendu selon un modĂšle tarifaire modulaire :

  • Dashboard : 50 $/mois
  • Worker (Brute force) : 25 $/mois
  • Worker (Scan) : 50 $/mois
  • Worker (VPN Checker) : 50 $/mois

⚙ ChaĂźne d’attaque automatisĂ©e

  1. Scan massif via Masscan sur les ports 443, 8443, 10443 (services d’accĂšs distant)
  2. Fingerprinting de services via HTTPX et intégration Shodan pour cibler des équipements spécifiques
  3. Brute force de credentials via un module intégré utilisant des listes login/mot de passe uploadées
  4. Validation d’accĂšs VPN : tentative d’authentification sur les endpoints dĂ©couverts
  5. ÉnumĂ©ration interne : gĂ©nĂ©ration de rapports structurĂ©s incluant hĂŽtes, domaines, partages rĂ©seau, utilisateurs, comptes Kerberoastables

🎯 Vendeurs ciblĂ©s

Fortinet, Cisco, Pulse Secure, Palo Alto, F5, Juniper, Citrix, VMware, RDWeb

📊 Type d’article

Il s’agit d’une analyse de menace publiĂ©e par un chercheur en threat intelligence, visant Ă  documenter les capacitĂ©s techniques d’un outil offensif commercial Ă©mergent destinĂ© Ă  l’acquisition automatisĂ©e d’accĂšs VPN d’entreprise.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1595.001 — Active Scanning: Scanning IP Blocks (Reconnaissance)
  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
  • T1596.005 — Search Open Technical Databases: Scan Databases (Reconnaissance)
  • T1110.001 — Brute Force: Password Guessing (Credential Access)
  • T1110.004 — Brute Force: Credential Stuffing (Credential Access)
  • T1133 — External Remote Services (Initial Access)
  • T1018 — Remote System Discovery (Discovery)
  • T1135 — Network Share Discovery (Discovery)
  • T1087 — Account Discovery (Discovery)
  • T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)

IOC

  • Fichiers : pentagram.exe
  • Fichiers : i2pd.exe

Malware / Outils

  • Pentagram (framework)
  • Masscan (tool)
  • HTTPX (tool)
  • i2pd (tool)

🟡 Indice de vĂ©rification factuelle : 46/100 (moyenne)

  • ⬜ linkedin.com — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 4567 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vĂ©rifiĂ© (0pts)
  • ✅ 10 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://www.linkedin.com/pulse/emerging-threat-pentagram-automated-account-tool-tammy-harper-naqze/