🗞️ Contexte

Source : KrebsOnSecurity — Publié le 30 avril 2026. Un fichier archive exposé dans un répertoire ouvert en ligne a été transmis à KrebsOnSecurity par une source anonyme. Ce fichier contient des éléments compromettants impliquant Huge Networks, une société brésilienne fondée à Miami en 2014, spécialisée dans la protection DDoS pour opérateurs réseau.

🎯 Activité malveillante identifiée

L’archive exposée révèle qu’un acteur malveillant basé au Brésil a :

  • Maintenu un accès root à l’infrastructure de Huge Networks
  • Construit un botnet DDoS puissant en scannant massivement Internet à la recherche de routeurs TP-Link Archer AX21 vulnérables à CVE-2023-1389 (injection de commande non authentifiée, patchée en avril 2023)
  • Utilisé des serveurs DNS mal configurés pour des attaques par réflexion/amplification DNS (facteur d’amplification x60-70)
  • Ciblé exclusivement des plages d’adresses IP brésiliennes (FAI régionaux)
  • Coordonné les scans depuis un serveur Digital Ocean signalé des centaines de fois pour activité abusive
  • Utilisé les clés SSH privées du CEO Erick Nascimento dans les scripts d’attaque Python

🛠️ Détails techniques

  • Malware : variante de Mirai (IoT botnet)
  • Vulnérabilité exploitée : CVE-2023-1389 sur routeurs TP-Link Archer AX21
  • Domaines C2 identifiés : hikylover[.]st, c.loyaltyservices[.]lol
  • Scripts : programmes Python en langue portugaise, incluant historique de commandes et clés SSH
  • Méthode d’attaque : chaque préfixe IP ciblé attaqué 10-60 secondes avec 4 processus parallèles par hôte
  • Technique DDoS : amplification DNS via serveurs récursifs ouverts

👤 Position du CEO

Erick Nascimento (CEO de Huge Networks) nie toute implication directe. Il attribue l’activité à une intrusion détectée le 11 janvier 2026 ayant compromis deux serveurs de développement et ses clés SSH personnelles via un serveur bastion/jump server. Il affirme avoir détruit le droplet compromis et rotation des clés le jour même. Une firme tierce de forensics réseau a été mandatée. Il affirme détenir des preuves blockchain impliquant un concurrent.

📌 Type d’article

Article de presse spécialisée à caractère investigatif, visant à exposer une activité malveillante présumée d’une société de cybersécurité brésilienne via l’analyse d’un fichier archive compromettant.

🧠 TTPs et IOCs détectés

TTP

  • T1595.001 — Active Scanning: Scanning IP Blocks (Reconnaissance)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1498.002 — Network Denial of Service: Reflection Amplification (Impact)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)

IOC

Malware / Outils

  • Mirai (botnet)

🟢 Indice de vérification factuelle : 82/100 (haute)

  • ✅ krebsonsecurity.com — source reconnue (liste interne) (20pts)
  • ✅ 11597 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 2/2 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • hikylover.st (domain) → VT (18/91 détections)
  • c.loyaltyservices.lol (domain) → VT (15/91 détections)

🔗 Source originale : https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/