🔍 Contexte

Publié le 20 avril 2026 par GreyNoise Intelligence, cet article présente les résultats d’une étude empirique sur la corrélation entre les surges d’activité réseau observées par leurs capteurs et les divulgations ultérieures de vulnérabilités CVE.

📊 Méthodologie et données

Sur une période de 103 jours, GreyNoise a analysé 147,8 millions de sessions réparties sur 276 tags spécifiques à des vendeurs, couvrant 18 fabricants d’équipements réseau. Parmi 104 événements de surge détectés, 68 ont précédé une CVE correspondant au vendeur ciblé, couvrant 33 vulnérabilités sur 16 familles de vendeurs. La validation statistique confirme que ce pattern n’est pas le fruit du hasard.

⏱️ Indicateurs temporels clés

  • Délai médian entre le surge et la divulgation : 11 jours
  • 49% des surges surviennent dans les 10 jours précédant la divulgation
  • 78% dans les 21 jours
  • Surges distribués : délai moyen de 21,3 jours
  • Surges concentrés (hébergement concentré) : délai moyen de 7,5 jours

🎯 Cas d’étude notables

  • CVE-2026-20127 (Cisco, CVSS 10.0, zero-day) : 8 surges distincts, le premier 39 jours avant la divulgation, citée dans un avertissement Five Eyes
  • CVE-2026-0400 (SonicWall) : 6 surges de 37 à 3 jours avant divulgation, pic à 69x le volume médian
  • CVE-2026-24858 (Fortinet, CVSS 9.4, zero-day) : seulement 1 jour d’avertissement

📡 Signaux et infrastructure

  • Le volume de sessions est le signal primaire le plus fiable
  • La combinaison volume + nombre d’IPs offre la plus haute confiance et étend le délai à 21 jours
  • 11 ASNs identifiés comme actifs sur 3+ familles de vendeurs
  • 4 clusters d’attaquants identifiés avec des transitions de phase

🌐 Contexte sectoriel

Mandiant M-Trends 2026 indique que le mean time-to-exploit est devenu négatif. VulnCheck documente que 28,96% des KEVs en 2025 ont été exploités le jour de leur publication ou avant.

📄 Nature de l’article

Il s’agit d’une publication de recherche à visée promotionnelle pour le rapport complet « Ten Days Before Zero » de GreyNoise, présentant des données empiriques sur la détection précoce d’exploitation de vulnérabilités via l’analyse de trafic réseau.

🧠 TTPs et IOCs détectés

TTP

  • T1595.001 — Active Scanning: Scanning IP Blocks (Reconnaissance)
  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)

IOC

🟡 Indice de vérification factuelle : 41/100 (moyenne)

  • ⬜ greynoise.io — source non référencée (0pts)
  • ✅ 2251 chars — texte partiel (fulltext extrait) (13pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/3 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.greynoise.io/blog/the-internet-changes-before-the-advisory-drops