🔍 Contexte

Publié le 18 mai 2026 par DeXpose en collaboration avec Buguard, cet article présente une investigation OSINT complète ayant conduit à l’attribution d’un threat actor connu sous l’alias Quellostanco, actif depuis début 2026 contre des cibles égyptiennes. Le dossier d’attribution complet a été transmis aux autorités judiciaires compétentes.

🎯 Activités malveillantes attribuées à Quellostanco

L’acteur a opéré sous la bannière du groupe INT3X, en collaboration avec les alias CrowStealer et bigF :

  • 9 février 2026 : Mise en vente de la base de données EgyptAir (~104 000 enregistrements RH/recrutement)
  • 23 février 2026 : Défacement et compromission du site d’Egyptalum (contrôle total revendiqué)
  • 25 février 2026 : Violation de la General Authority for Roads and Bridges avec exfiltration du Contract Extract System (avec CrowStealer)
  • 10 mai 2026 : Violation de l’Université de Mansoura — plus de 10 Go de données, ~989 000 dossiers étudiants (2012–2026), photos, documents de recherche
  • 14 mai 2026 : Violation de la passerelle de paiement mutreasury impactant 28 universités égyptiennes — credentials administrateurs, clés API, exploitation revendiquée d’un zero-day
  • 17 mai 2026 : Défacement de pat.edu.eg

🧵 Méthodologie d’attribution OSINT

Corrélation initiale d’alias

  • Recherche du username dans des datasets de breaches (dont la fuite DarkForums)
  • Identification d’adresses IP égyptiennes parmi les IPs liées au compte (majorité VPN)
  • Découverte d’un alias lié leakdealer avec une adresse OnionMail contenant le username Quellostanco
  • Session ID partagé publiquement : 05b2d87dee26c5f4b0fe86d3caf2020039ca056be98f3c0348c1559c5eedcbcc76
  • Corrélation avec quellostanco@outlook.com → compte Microsoft égyptien + numéro de téléphone se terminant par 94

Réutilisation de persona

  • Variante stylisée Quello$tanco sur un site défacé → profil HackerOne (quello_stanco) avec photo de groupe INT3X et localisation Giza
  • Profil Bugcrowd identique
  • Compte Reddit corrélé via éléments de bio combinés des deux profils
  • Posts Reddit : vulnérabilité découverte sur un portail universitaire, recrutement INT3X, rants en arabe sur la scène hacking égyptienne

🗂️ Fuite via métadonnées Git

  • Variation de username quell***tanco → compte GitHub avec display name Selva*****A5
  • Commit daté du 11 novembre 2023 contenant une adresse email personnelle dans les métadonnées Git
  • Nom réel de l’acteur présent dans les fichiers du projet

🔗 Confirmation croisée

  • Email exposé trouvé dans le dataset ULP 2024numéro de téléphone utilisé comme mot de passe, se terminant par 94 (correspondance avec la piste Outlook)
  • Logs infostealer associés → adresse résidentielle exposée
  • Numéro de téléphone sauvegardé par des tiers sous le vrai nom de l’acteur via services de caller-ID collaboratifs
  • Profil Upwork : administrateur système Linux / spécialiste réseau et sécurité
  • Profil LinkedIn avec photo, date de naissance (26 mars), confirmation du numéro de téléphone, lien vers le dépôt GitHub identifié

💬 Contact direct

  • Approche via Reddit sous prétexte client → obtention du Session ID confirmant le lien alias
  • Passage sur Discord : username Selva*****A5 confirmé, invitation dans un canal avec bigF et Dig Bick (supposé être CrowStealer)
  • Exposition accidentelle de l’interface Discord lors d’un partage d’écran (compte ettaproject)

🗑️ Suppression des comptes

Après le défacement de pat.edu.eg, l’acteur a supprimé ou modifié ses profils GitHub, Upwork et HackerOne, probablement suite à une augmentation du trafic sur ses comptes Upwork et LinkedIn. L’attribution était déjà documentée avant ces suppressions.

📋 Type d’article

Investigation OSINT d’attribution publiée par DeXpose et Buguard, visant à documenter publiquement (version censurée) la chaîne d’attribution d’un threat actor cybercriminel actif contre des infrastructures égyptiennes.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Quellostanco (cybercriminal) —
  • CrowStealer (cybercriminal) —
  • bigF (cybercriminal) —
  • INT3X (cybercriminal) —

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1530 — Data from Cloud Storage (Collection)
  • T1485 — Data Destruction (Impact)
  • T1491.002 — Defacement: External Defacement (Impact)
  • T1589.002 — Gather Victim Identity Information: Email Addresses (Reconnaissance)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1567 — Exfiltration Over Web Service (Exfiltration)

IOC

Malware / Outils

  • Session (tool)

🟢 Indice de vérification factuelle : 71/100 (haute)

  • ✅ dexpose.io — source reconnue (Rösti community) (20pts)
  • ✅ 17730 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Quellostanco, CrowStealer, bigF (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.dexpose.io/unmasking-quellostanco-how-a-git-commit-exposed-a-threat-actor-targeting-egyptian-infrastructure/