🔍 Contexte

PubliĂ© le 23 juin 2026 par SicuraNext (blog.sicuranext.com), cet article prĂ©sente une recherche read-only menĂ©e le 11 juin 2026 sur une campagne active exploitant CVE-2026-26980, une injection SQL dans l’API publique Content de Ghost CMS (versions 3.24.0 Ă  6.19.0, corrigĂ©e en 6.19.1 en fĂ©vrier 2026).

⚙ MĂ©canisme d’attaque

L’exploitation se dĂ©roule en deux Ă©tapes :

  1. Lecture via Content API (sans authentification) pour extraire la clé Admin API stockée en base de données
  2. Écriture via Admin API avec la clĂ© volĂ©e pour injecter un loader JavaScript malveillant dans les corps de posts

Le loader injectĂ© (ghost_once_footer_<id>) utilise une porte localStorage (exĂ©cution unique par navigateur), encode l’origine victime via btoa(location.origin), et charge un second stage depuis un C2 via une URL base64 encodĂ©e. La chaĂźne mĂšne Ă  une page FakeCAPTCHA/ClickFix incitant les visiteurs Ă  exĂ©cuter des commandes ou installer un malware.

📊 RĂ©sultats du scan

  • 3 153 hostnames Ghost analysĂ©s (source : Shodan)
  • 287 compromis (251 domaines uniques), taux de reconfirmation : 97,9%
  • 284/287 pointent vers un seul C2 : restrictes[.]com
  • 17 sites dĂ©jĂ  patchĂ©s mais toujours compromis (le loader persiste dans la base de donnĂ©es)
  • 887 sites vulnĂ©rables sans injection dĂ©tectĂ©e
  • RĂ©partition : 240 sur Ghost 5.x, 47 sur Ghost 6.x
  • HĂ©bergement : ~42% DigitalOcean, ~20% Cloudflare, ~10% Amazon

🎯 Attribution et infrastructure

Deux clusters identifiés par toolchain :

  • Actor A (285 rĂ©sultats) : loader ClickFix avec marqueurs ghost_once_footer_, btoa(location.origin), path stable /11z77u3.php, domaines C2 rotatifs Ă  courte durĂ©e de vie
  • Actor B (2 rĂ©sultats) : signature distincte (/api/css.js, famille script-dev.*), nettoyĂ©s entre les deux passes

Timeline des domaines C2 Actor A :

  • com-apps[.]cc (enregistrĂ© 2025-09-23, suspendu)
  • jalwat[.]com (2026-02-24, actif)
  • clo4shara[.]xyz (2026-04-26, actif)
  • cloud-verification[.]com (2026-05-03, actif)
  • platecrumbs[.]com (2026-05-14, suspendu)
  • restrictes[.]com (2026-05-21, actif, dominant)

Le domaine restrictes[.]com Ă©tait absent de toutes les sources publiques au moment du scan ; une seule dĂ©tection (LevelBlue, “phishing”) est apparue le 19 juin 2026.

📄 Type d’article

Recherche CTI originale Ă  visĂ©e communautaire : documentation d’une campagne active, partage de mĂ©thode de dĂ©tection reproductible, et publication d’IoCs dĂ©fangĂ©s sans exposition des victimes.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1565.001 — Stored Data Manipulation (Impact)
  • T1552.001 — Credentials In Files (Credential Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1036 — Masquerading (Defense Evasion)

IOC

Malware / Outils

  • ClickFix (loader)
  • FakeCAPTCHA (other)

🟱 Indice de vĂ©rification factuelle : 65/100 (haute)

  • ⬜ blog.sicuranext.com — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 27841 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 10 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 3/5 IOCs confirmĂ©s (ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 8 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ 0/1 CVE(s) confirmĂ©e(s) (0pts)

IOCs confirmés externellement :

  • restrictes.com (domain) → VT (5/91 dĂ©tections)
  • com-apps.cc (domain) → VT (21/91 dĂ©tections)
  • jalwat.com (domain) → VT (21/91 dĂ©tections)

🔗 Source originale : https://blog.sicuranext.com/ghost-stories-investigating-an-undocumented-clickfix-c2-in-ghost-cms/