🗓️ Contexte

Publié le 24 mai 2026 sur BleepingComputer, cet article s’appuie sur les recherches de XLab, équipe de threat intelligence de la société chinoise Qianxin, ainsi que sur des travaux antérieurs de SentinelOne (publiés le 27 février 2026).

🎯 Vulnérabilité exploitée

CVE-2026-26980 est une injection SQL critique affectant Ghost CMS versions 3.24.0 à 6.19.0. Elle permet à des attaquants non authentifiés de lire des données arbitraires depuis la base de données, notamment les clés API admin. Un correctif a été publié le 19 février 2026 dans la version Ghost CMS 6.19.1, mais de nombreux sites n’ont pas appliqué la mise à jour.

🔗 Chaîne d’attaque

  1. Exploitation de CVE-2026-26980 → vol des clés API admin
  2. Injection de JavaScript malveillant dans les articles du CMS via les droits admin
  3. Le JS agit comme un loader léger récupérant du code de second niveau depuis l’infrastructure attaquante
  4. Un script de cloaking fingerprinte les visiteurs pour sélectionner les cibles
  5. Les cibles qualifiées reçoivent une fausse page Cloudflare (iframe) contenant le leurre ClickFix
  6. La victime est invitée à coller une commande dans l’invite de commande Windows, déclenchant le dépôt d’un payload

📦 Payloads observés

  • DLL loaders
  • JavaScript droppers
  • UtilifySetup.exe : sample de malware basé sur Electron

🌍 Impact

  • Plus de 700 domaines compromis
  • Secteurs touchés : universités, entreprises IA/SaaS, médias, fintech, sites de sécurité, blogs personnels
  • Sites nommément impactés : Harvard University, Oxford University, Auburn University, DuckDuckGo
  • Au moins deux clusters d’activité distincts identifiés, parfois en compétition (suppression mutuelle des scripts injectés)

📋 Type d’article

Il s’agit d’une publication de recherche / analyse de menace combinant la divulgation d’une campagne active, la description technique de la chaîne d’attaque et la fourniture d’IoCs, à destination des équipes de sécurité et administrateurs de Ghost CMS.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1189 — Drive-by Compromise (Initial Access)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)

IOC

  • CVEs : CVE-2026-26980NVD · CIRCL
  • Fichiers : UtilifySetup.exe

Malware / Outils

  • UtilifySetup.exe (loader)
  • DLL Loader (loader)
  • JavaScript Dropper (loader)

🟡 Indice de vérification factuelle : 56/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 3306 chars — texte complet (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/ghost-cms-sql-injection-flaw-exploited-in-large-scale-clickfix-campaign/