🔍 Contexte

Le 2 mai 2026, Ctrl-Alt-Intel publie une analyse de threat research basée sur la découverte d’un serveur de staging attaquant exposé. L’article fait suite à la divulgation publique de CVE-2026-41940, un bypass d’authentification critique dans cPanel & WHM (versions après 11.40), initialement documenté par watchTowr Labs le 29 avril 2026.

🎯 Victimologie

L’acteur a ciblé principalement :

  • Philippine Coast Guard
  • Philippine Air Force, 15th Strike Wing
  • Philippine Government Arsenal, Department of National Defense
  • Lao Ministry of National Defence
  • Lao Ministry of Natural Resources and Environment
  • MSPs et hébergeurs aux Philippines, Laos, Canada, Afrique du Sud et États-Unis
  • Un portail de formation du secteur de la défense indonésien
  • Des organisations chinoises du secteur ferroviaire (China Railway Society Electrification Committee)

⚙️ Techniques d’attaque

Exploitation CVE-2026-41940 : L’acteur a utilisé des PoC publics pour forger des sessions WHM en injectant des valeurs user=root, hasroot=1, tfa_verified=1, obtenant un accès root non authentifié.

Chaîne d’exploitation personnalisée (portail indonésien) :

  1. Utilisation de credentials hardcodés
  2. Bypass CAPTCHA via lecture de la valeur dans le cookie de session
  3. Injection SQL dans un champ de nom de document
  4. Escalade vers RCE via COPY ... TO PROGRAM (PostgreSQL)
  5. Exfiltration des résultats via pg_read_file() et encodage base64

🏗️ Infrastructure C2 et pivoting

  • IP principale : 95.111.250.175 (VPS hébergeant OpenVPN, payloads, reverse shell)
  • C2 AdaptixC2 : delicate-dew.serveftp.com:4455
  • OpenVPN sur 95.111.250.175:1194/UDP, subnet 10.8.0.0/24
  • Ligolo déployé comme service systemd masqué (systemd-update.service, binaire systemd-helper dans /usr/local/bin/.netmon)
  • Pivot vers réseau interne 10.16.0.0/16, hôte cible 10.16.13.88

📦 Exfiltration

110 fichiers (~4,37 Go) volés en mars 2026 depuis la China Railway Society Electrification Committee :

  • 46 .pptx, 35 .pdf, 24 .docx, 5 .xlsx
  • Données techniques, organisationnelles et personnelles (nom, ID national PRC, numéro de compte bancaire, téléphone)
  • Script d’exfiltration : exfil_docs_v2.sh utilisant lftp

🕵️ Attribution

Aucune attribution formelle. Des commentaires en vietnamien ont été observés dans les scripts Python, mais Ctrl-Alt-Intel souligne explicitement que cela pourrait être une fausse piste.

📄 Nature de l’article

Il s’agit d’une publication de recherche sur les menaces (threat research) produite par Ctrl-Alt-Intel, visant à documenter une opération active, exposer les TTPs et IOCs associés, et fournir des éléments d’analyse CTI exploitables.

🧠 TTPs et IOCs détectés

TTP

  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
  • T1588.005 — Obtain Capabilities: Exploits (Resource Development)
  • T1588.002 — Obtain Capabilities: Tool (Resource Development)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Initial Access)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1543.002 — Create or Modify System Process: Systemd Service (Persistence)
  • T1036 — Masquerading (Defense Evasion)
  • T1046 — Network Service Discovery (Discovery)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1005 — Data from Local System (Collection)
  • T1048 — Exfiltration Over Alternative Protocol (Exfiltration)

IOC

  • IPv4 : 95.111.250.175AbuseIPDB · VT · ThreatFox
  • Domaines : delicate-dew.serveftp.comVT · URLhaus · ThreatFox
  • SHA256 : 64674342041873DBB18B1DD9BB1CA391AF85B5E755DEFFB4C1612EF668349325VT · MalwareBazaar
  • SHA256 : 974E272AD1DC7D5AADC3C7A48EC00EB201D04BA59EC5B0B17C2F8E9CD2F9C9CDVT · MalwareBazaar
  • SHA256 : 734F0D04DC2683E19E629B8EC7F55349B5BCFF4EB4F2F36F6ADBBDE1C023A24FVT · MalwareBazaar
  • SHA256 : 1CFEADF01D24182362887B7C5F683E8BDB0E84CDDCE03E3B7564B2D9AB5D15CFVT · MalwareBazaar
  • CVEs : CVE-2026-41940NVD · CIRCL
  • Fichiers : systemd-update.service
  • Fichiers : init.ps1
  • Fichiers : exploit_siak_bahasa.py
  • Fichiers : exfil_docs_v2.sh
  • Fichiers : temp.sh
  • Chemins : /usr/local/bin/.netmon/systemd-helper
  • Chemins : /usr/local/bin/.netmon
  • Chemins : /tmp

Malware / Outils

  • AdaptixC2 (framework)
  • Ligolo (tool)
  • OpenVPN (tool)
  • lftp (tool)

🟢 Indice de vérification factuelle : 87/100 (haute)

  • ✅ ctrlaltintel.com — source reconnue (Rösti community) (20pts)
  • ✅ 15748 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 15 IOCs dont des hashes (15pts)
  • ✅ 2/5 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 15 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 95.111.250.175 (ip) → VT (11/91 détections) + ThreatFox (AdaptixC2)
  • delicate-dew.serveftp.com (domain) → VT (5/91 détections)

🔗 Source originale : https://ctrlaltintel.com/research/SEA-CPanel/