📰 Source : LinuxFR — Article publié le 20 juin 2026 par Mehdi, édité par Benoît Sibaud.

🔍 Contexte général DarkMoon est un moteur de pentest automatisé open source publié sous licence GNU GPLv3. Le projet est récent : premier commit en novembre 2025, dépôt rendu public en mai 2026, avec environ 500 clonages et 1300 téléchargements d’images Docker au moment de la publication.

⚙️ Architecture et fonctionnement L’outil repose sur trois composants principaux :

  • Un conteneur Docker fournissant l’environnement d’exécution isolé
  • Un lanceur darkmoon.sh pour démarrer les campagnes et consulter les journaux
  • Une logique d’orchestration qui sélectionne dynamiquement les outils selon les signaux détectés (ports, services, CMS, API, frameworks, en-têtes HTTP)

Le modèle de langage propose une stratégie, mais les actions transitent par une couche de contrôle avant exécution, limitant l’exécution directe sur l’hôte.

🤖 Choix du LLM DarkMoon supporte des fournisseurs cloud (OpenAI, Anthropic, OpenRouter) ainsi que des modèles locaux via Ollama, llama.cpp ou toute URL compatible API OpenAI, permettant d’éviter l’envoi de données sensibles vers des services externes.

🛠️ Outils intégrés Les outils embarqués dans l’image Docker incluent notamment : Naabu, Masscan, Nuclei, ffuf, sqlmap, Arjun, wafw00f, Subfinder, Katana, Waybackurls, httpx, WPScan, CMSeeK, Hydra, dig, ainsi que des outils liés à BloodHound, Impacket, kubectl, Kubescape, Kubeletctl.

📋 Sorties produites Chaque campagne génère des journaux d’exécution et un rapport de pentest en Markdown incluant : cible, périmètre, commandes exécutées, preuves collectées, vulnérabilités relevées, criticité et impact potentiel.

⚠️ Limites déclarées Faux positifs/négatifs possibles, dépendance aux outils appelés et au LLM choisi, interprétation humaine nécessaire, risque de bruit sur les systèmes testés.

📌 Type d’article : Présentation technique d’un nouvel outil open source de sécurité offensive, destinée à informer la communauté cybersécurité sur ses capacités, son architecture et son cadre d’usage.

🧠 TTPs et IOCs détectés

TTP

  • T1595 — Active Scanning (Reconnaissance)
  • T1592 — Gather Victim Host Information (Reconnaissance)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1046 — Network Service Discovery (Discovery)

Malware / Outils

  • DarkMoon (framework)
  • Nuclei (tool)
  • sqlmap (tool)
  • ffuf (tool)
  • Naabu (tool)
  • Masscan (tool)
  • WPScan (tool)
  • Hydra (tool)
  • Subfinder (tool)
  • Katana (tool)
  • httpx (tool)
  • Impacket (framework)
  • BloodHound (tool)
  • Kubescape (tool)
  • CMSeeK (tool)
  • wafw00f (tool)
  • Arjun (tool)
  • Waybackurls (tool)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ linuxfr.org — source non référencée (0pts)
  • ✅ 10249 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://linuxfr.org/news/darkmoon-un-moteur-libre-de-pentest-autonome-avec-agents-ia-mcp-et-outillage-conteneurise