🔍 Contexte
Publié le 11 mai 2026 par TrendAI Research (Trend Micro), cet article présente deux campagnes de cyberattaques émergentes exploitant des agents IA agentiques pour automatiser des opérations d’intrusion de bout en bout contre des cibles gouvernementales et financières en Amérique latine.
🎯 Campagne SHADOW-AETHER-040
Active depuis fin 2025, cette campagne a ciblé principalement des entités gouvernementales mexicaines (6 compromises entre le 27 décembre 2025 et le 4 janvier 2026), ainsi que des organisations des secteurs financier, aérien et retail en Amérique latine.
- L’acteur utilise un outil CLI agentique envoyant des prompts au LLM Anthropic Claude
- Accès initial via scanners de vulnérabilités et déploiement de webshells Neo-reGeorg
- Tunneling SOCKS5 via Chisel, mouvement latéral via ProxyChains + SSH
- Intégration de services tiers : Shodan (surface d’attaque) et VulDB (vulnérabilités)
- Tentatives de jailbreak en se faisant passer pour un exercice red team autorisé (prompts en espagnol)
- Déploiement d’un backdoor Python nommé
implante_http, packagé en ELF via PyInstaller, avec indicateurs de génération par IA (commentaires explicatifs, emojis, gestion d’erreurs parfaite) - Le backdoor supporte : exécution de commandes, PTY interactif, upload/download chunké, tunnel WebSocket, connexions SSH internes
- Un serveur C&C mal configuré a exposé les conversations entre l’acteur et son agent IA
🎯 Campagne SHADOW-AETHER-064
Identifiée en avril 2026, cette campagne cible des organisations financières au Brésil, avec pour objectif principal l’exfiltration de données financières.
- Exploitation de serveurs JBoss AS vulnérables pour déployer des webshells
- Même approche ProxyChains + SOCKS5 + SSH que SHADOW-AETHER-040
- Outils communs : Chisel, Neo-reGeorg, CrackMapExec, Impacket
- Développement de deux outils custom :
- POW (Proxy over Web) : encapsule le trafic SOCKS5 dans des requêtes HTTP POST via un webshell JSP
- SOCKTZ (Go) : outil de tunneling SOCKS5 inverse, version 9 avec exécution de commandes distantes ; utilise un site WordPress compromis comme relais C2
- Création de comptes non autorisés (
svcbackup,svcmon), modification de GPO/GPP pour escalade de privilèges - Opérateurs lusophones (portugais), contrairement à SHADOW-AETHER-040 (hispanophones)
🔗 Points communs et différences
| Critère | SHADOW-AETHER-040 | SHADOW-AETHER-064 |
|---|---|---|
| Langue | Espagnol | Portugais |
| LLM utilisé | Anthropic Claude | Inconnu |
| Cibles | Gouvernement, finance, aviation, retail (Mexique + LATAM) | Finance (Brésil) |
| Outils communs | Chisel, Neo-reGeorg, CrackMapExec, Impacket | Idem |
| Backdoor custom | implante_http (Python/ELF) |
SOCKTZ (Go) + POW (JSP) |
📌 Type d’article
Publication de recherche technique par TrendAI Research, visant à documenter l’émergence du « vibe hacking » — l’utilisation d’agents IA agentiques dans des campagnes d’intrusion réelles — et à fournir des IoCs et TTPs exploitables.
🧠 TTPs et IOCs détectés
Acteurs de menace
- SHADOW-AETHER-040 (unknown) —
- SHADOW-AETHER-064 (unknown) —
TTP
- T1590 — Gather Victim Network Information (Reconnaissance)
- T1595 — Active Scanning (Reconnaissance)
- T1588.007 — Obtain Capabilities: Artificial Intelligence (Resource Development)
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1059 — Command and Scripting Interpreter (Execution)
- T1203 — Exploitation for Client Execution (Execution)
- T1053 — Scheduled Task/Job (Persistence)
- T1136.001 — Create Account: Local Account (Persistence)
- T1136.002 — Create Account: Domain Account (Persistence)
- T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
- T1484.001 — Domain or Tenant Policy Modification: Group Policy Modification (Privilege Escalation)
- T1036 — Masquerading (Defense Evasion)
- T1003 — OS Credential Dumping (Credential Access)
- T1187 — Forced Authentication (Credential Access)
- T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
- T1110.003 — Brute Force: Password Spraying (Credential Access)
- T1087 — Account Discovery (Discovery)
- T1482 — Domain Trust Discovery (Discovery)
- T1654 — Log Enumeration (Discovery)
- T1046 — Network Service Discovery (Discovery)
- T1018 — Remote System Discovery (Discovery)
- T1057 — Process Discovery (Discovery)
- T1082 — System Information Discovery (Discovery)
- T1210 — Exploitation of Remote Services (Lateral Movement)
- T1021.004 — Remote Services: SSH (Lateral Movement)
- T1550.002 — Use Alternate Authentication Material: Pass the Hash (Lateral Movement)
- T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
- T1213 — Data from Information Repositories (Collection)
- T1090 — Proxy (Command and Control)
- T1572 — Protocol Tunneling (Command and Control)
- T1071 — Application Layer Protocol (Command and Control)
- T1020 — Automated Exfiltration (Exfiltration)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
IOC
- IPv4 :
165.22.184.26— AbuseIPDB · VT · ThreatFox - IPv4 :
159.65.202.204— AbuseIPDB · VT · ThreatFox - IPv4 :
62.171.185.97— AbuseIPDB · VT · ThreatFox - IPv4 :
167.172.38.123— AbuseIPDB · VT · ThreatFox - IPv4 :
155.133.27.198— AbuseIPDB · VT · ThreatFox - IPv4 :
209.99.185.221— AbuseIPDB · VT · ThreatFox - IPv4 :
209.99.185.223— AbuseIPDB · VT · ThreatFox - IPv4 :
167.148.195.53— AbuseIPDB · VT · ThreatFox - Domaines :
cloudservbr.com— VT · URLhaus · ThreatFox - Domaines :
infra-telemetry.com— VT · URLhaus · ThreatFox - Fichiers :
implante_http - Fichiers :
pg_stat_worker - Chemins :
~/.pgsql/logs/pg_stat_worker - Chemins :
~/.ssh/authorized_keys
Malware / Outils
- implante_http (backdoor)
- SOCKTZ (tool)
- POW (Proxy over Web) (tool)
- Neo-reGeorg (tool)
- Chisel (tool)
- CrackMapExec (tool)
- Impacket (framework)
- ProxyChains (tool)
- PyInstaller (tool)
- Vulmap (tool)
- PetitPotam (tool)
🟢 Indice de vérification factuelle : 90/100 (haute)
- ✅ trendmicro.com — source reconnue (liste interne) (20pts)
- ✅ 27021 chars — texte complet (fulltext extrait) (15pts)
- ✅ 14 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 5/5 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 33 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : SHADOW-AETHER-040, SHADOW-AETHER-064 (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
165.22.184.26(ip) → VT (12/92 détections)159.65.202.204(ip) → VT (7/92 détections) + ThreatFox (MimiKatz)62.171.185.97(ip) → VT (3/92 détections)cloudservbr.com(domain) → VT (6/92 détections)infra-telemetry.com(domain) → VT (16/92 détections)
🔗 Source originale : https://www.trendmicro.com/en_us/research/26/e/vibe-hacking-two-ai-augmented-campaigns-target-government-and-financial-sectors-in-latin-america.html