🔍 Contexte

Analyse publiée le 27 mai 2026 par le KELA Cyber Intelligence Center, portant sur le groupe Infrastructure Destruction Squad (IDS), actif depuis au moins juin 2025 et toujours opérationnel en mai 2026. Le groupe opère principalement via Telegram et le forum PWN Forums.

🎭 Profil du groupe

Infrastructure Destruction Squad se présente comme un collectif hacktivist politiquement motivé, mais ses activités révèlent un profil criminel à but lucratif. Le groupe revendique des membres principalement en Chine, ainsi qu’en Russie, Biélorussie et aux États-Unis. Il communique en anglais, russe et chinois, et affiche des positions pro-Chine, anti-États-Unis, anti-Israël, pro-palestiniennes et anti-Inde/pro-Pakistan.

En septembre 2025, le groupe a nié être directement lié au groupe hacktivist pro-russe Dark Engine, tout en reconnaissant un lien antérieur avec ce canal Telegram.

💰 L’écosystème BLACKNET-00 RaaS

En février 2026, IDS annonce BLACKNET-00 comme entité distincte à vocation purement financière. En avril 2026, un post sur PWN Forums sous le pseudonyme “blacknet00” confirme explicitement le lien entre les deux entités.

Le builder BLACKNET-00 est commercialisé comme un outil sans connaissance en programmation requise, avec interface graphique et génération en un clic. Fonctionnalités incluses :

  • Configuration du chiffrement et désactivation des outils de sécurité (dont Windows Defender)
  • Génération de notes de rançon et QR codes de paiement
  • Vol de données (mots de passe, portefeuilles crypto, captures d’écran, accès webcam)
  • Support Tor et Domain Generation Algorithm (DGA)

Le prix a chuté de 2 000 USD à 300 USD, avec livraison du code source complet (achat unique, sans partage d’affiliation).

🎯 Victimes revendiquées

En avril 2026, deux victimes majeures revendiquées :

  1. Federal Aviation Administration (FAA) – cible gouvernementale/aviation américaine
  2. Zaidus Real Estate Investment and General Contracting Company (Égypte) – vol revendiqué de 20 Go de documents, rançon demandée de 20 000 USD

Aucun site de fuite dédié n’a été observé ; les revendications transitent par Telegram et PWN Forums.

🛠️ Arsenal offensif complet

Outil Prix Description
VoltRuptor 25 000 USD Outil ICS/infrastructure critique, scan et propagation sur réseaux industriels (août 2025)
TRK25 Advanced SCADA 500 USD Scan de plages IP industrielles, extraction de bannières SCADA (février 2026)
BLAIIS-820 400 USD Exploitation de vulnérabilités IIS, extraction de mots de passe depuis fichiers de config web, ciblage HMI/SCADA (mai 2026)
BankGhost Builder 300 USD Malware bancaire supportant +700 institutions, fausses pages de connexion, bypass 2FA, keylogging, chiffrement polymorphique
EXTERMINATOR N/A Ransomware ciblant aussi bien les réseaux d’entreprise que les particuliers

📌 Type d’article

Il s’agit d’une analyse de menace produite par KELA, visant à documenter le profil, les capacités et l’évolution d’un acteur hybride hacktiviste-cybercriminel pour les équipes CTI.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Infrastructure Destruction Squad (hacktivist) — orkl.eu · Malpedia
  • BLACKNET-00 (cybercriminal) —
  • Dark Engine (hacktivist) — orkl.eu · Malpedia

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1657 — Financial Theft (Impact)
  • T1565 — Data Manipulation (Impact)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1113 — Screen Capture (Collection)
  • T1125 — Video Capture (Collection)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1583 — Acquire Infrastructure (Resource Development)
  • T1568.002 — Dynamic Resolution: Domain Generation Algorithms (Command and Control)
  • T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
  • T1588.001 — Obtain Capabilities: Malware (Resource Development)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1566.003 — Phishing: Spearphishing via Service (Initial Access)
  • T1496 — Resource Hijacking (Impact)

Malware / Outils

  • BLACKNET-00 (ransomware)
  • EXTERMINATOR (ransomware)
  • VoltRuptor (tool)
  • TRK25 Advanced SCADA (tool)
  • BLAIIS-820 (tool)
  • BankGhost Builder (other)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ kelacyber.com — source non référencée (0pts)
  • ✅ 9513 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 15 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Infrastructure Destruction Squad, BLACKNET-00, Dark Engine (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.kelacyber.com/blog/blacknet-00-infrastructure-destruction-squad-ransomware/