🔍 Contexte

Source : blog personnel « Chaotic Eclipse » (deadeclipse666.blogspot.com), publications entre le 2 avril et le 13 mai 2026. L’auteur, opĂ©rant sous le pseudonyme Nightmare-Eclipse, publie une sĂ©rie de divulgations publiques de vulnĂ©rabilitĂ©s ciblant Microsoft Windows, en rĂ©ponse Ă  ce qu’il dĂ©crit comme un traitement abusif de sa part par le Microsoft Security Response Center (MSRC).

📋 Chronologie des divulgations

  • 2 avril 2026 : Publication de BlueHammer (GitHub : Nightmare-Eclipse/BlueHammer) — premiĂšre divulgation publique, sans explication technique.
  • 12 avril 2026 : Publication de UnDefend (GitHub : Nightmare-Eclipse/UnDefend) — outil qualifiĂ© de « DOS tool » et de 0-day, permettant Ă  tout utilisateur d’exĂ©cuter du code avec privilĂšges administrateur en contournant Windows Defender. L’auteur prĂ©cise que combinĂ© Ă  BlueHammer, la machine est entiĂšrement compromise.
  • 15 avril 2026 : Publication de RedSun (GitHub : Nightmare-Eclipse/RedSun) en rĂ©ponse au patch de CVE-2026-33825. L’auteur mentionne que MSRC avait Ă©tĂ© informĂ© mais avait ignorĂ© le signalement.
  • 12 mai 2026 : Publication simultanĂ©e de YellowKey (GitHub : Nightmare-Eclipse/YellowKey) et GreenPlasma (GitHub : Nightmare-Eclipse/GreenPlasma). L’auteur annonce vouloir impliquer d’autres entreprises.
  • 13 mai 2026 : L’auteur signale que Microsoft a silencieusement patchĂ© RedSun sans CVE ni advisory, malgrĂ© une exploitation active. Il confirme que YellowKey fonctionne mĂȘme dans un environnement TPM+PIN et refuse de publier le PoC complet.

⚠ ÉlĂ©ments notables

  • L’auteur affirme disposer d’un dead man switch sophistiquĂ©, hĂ©bergĂ© hors de son domicile, contenant des divulgations massives supplĂ©mentaires.
  • Il mentionne explicitement Tom Gallagher (MSRC leadership) dans ses remerciements sarcastiques.
  • Les messages sont signĂ©s cryptographiquement via PGP (Ed25519), la clĂ© publique est publiĂ©e sur le blog.
  • L’auteur annonce des divulgations de RCE Ă  venir et une « surprise » pour le prochain Patch Tuesday.
  • YellowKey est dĂ©crit comme une backdoor dont la cause racine reste inconnue du public et potentiellement de MSRC.

🎯 Nature de l’article

Il s’agit d’une sĂ©rie de divulgations publiques offensives (full disclosure) motivĂ©es par un conflit personnel avec Microsoft/MSRC, accompagnĂ©es de menaces crĂ©dibles de divulgations futures. Le but principal est d’exercer une pression publique sur Microsoft en exposant des vulnĂ©rabilitĂ©s non corrigĂ©es.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • Nightmare-Eclipse (unknown) —

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1587.004 — Develop Capabilities: Exploits (Resource Development)

IOC

  • URLs : https://github.com/Nightmare-Eclipse/YellowKey — URLhaus
  • URLs : https://github.com/Nightmare-Eclipse/GreenPlasma — URLhaus
  • URLs : https://github.com/Nightmare-Eclipse/RedSun — URLhaus
  • URLs : https://github.com/Nightmare-Eclipse/UnDefend — URLhaus
  • URLs : https://github.com/Nightmare-Eclipse/BlueHammer — URLhaus
  • CVEs : CVE-2026-33825 — NVD · CIRCL

Malware / Outils

  • BlueHammer (tool)
  • UnDefend (tool)
  • RedSun (tool)
  • YellowKey (backdoor)
  • GreenPlasma (tool)

🟡 Indice de vĂ©rification factuelle : 55/100 (moyenne)

  • ⬜ deadeclipse666.blogspot.com — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 9497 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 6 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/3 IOCs confirmĂ©s externellement (0pts)
  • ✅ 3 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifiĂ©(s) : Nightmare-Eclipse (5pts)
  • ⬜ 0/1 CVE(s) confirmĂ©e(s) (0pts)

🔗 Source originale : https://deadeclipse666.blogspot.com/