🌍 Contexte

Publié le 24 juin 2026 par Hunt.io sur son blog de recherche, cet article présente les résultats d’une cartographie systématique de l’infrastructure malveillante en Europe de l’Est, couvrant 10 pays (Biélorussie, Bulgarie, République tchèque, Hongrie, Pologne, Moldavie, Roumanie, Russie, Slovaquie, Ukraine) sur une fenêtre de trois mois (12 mars – 12 juin 2026).

📊 Chiffres clés

  • 4 331 détections malveillantes totales chez 302 fournisseurs distincts
  • 3 923 serveurs C2 (~90,6% des détections)
  • 146 posts IOC Hunter, 111 répertoires ouverts malveillants, 90 sites de phishing, 61 IOCs publics
  • Friendhosting LTD (Bulgarie) : 2 100 serveurs C2, soit 53,5% de toute l’infrastructure C2 régionale
  • Top 5 fournisseurs : Friendhosting (BG, 2100), TimeWeb (RU, 277), PQ Hosting (MD, 175), Neterra (BG, 137), AlexHost (MD, 120)

🦠 Distribution des familles de malwares

  • Keitaro : 1 277 IPs C2 uniques (TDS abusé pour malvertising/phishing)
  • Tactical RMM : 232 C2s (outil légitime détourné)
  • Acunetix : 173 C2s (infrastructure de reconnaissance)
  • Gophish : 122 C2s
  • Hajime : 106, Mozi : 82 (botnets IoT)
  • Cobalt Strike : 35 vérifiés + 44 non vérifiés
  • Sliver : 35

🎯 Acteurs de menace et campagnes identifiés

  • Cloud Atlas APT : IP 146.70.53[.]171 (M247, AS9009, Bulgarie) et plusieurs IPs sur Baxet (AS51659) — ciblage d’entités gouvernementales/diplomatiques en Russie et Biélorussie, exploitation de CVE-2018-0802, phishing ZIP avec LNK/PowerShell
  • INJ3CTOR3 : IP 146.70.129[.]114 (AS9009, République tchèque) — campagne de fraude téléphonique FreePBX, dropper Bash multi-étapes, webshell JOMANGY, outil ZenharR
  • JINX-0164 : IP 89.36.224[.]5 (AS9009, Roumanie) — package npm malveillant @velora-dex/sdk v9.4.1, RAT Go minirat, ciblage développeurs macOS DeFi/Web3
  • ShinyHunters : IP 176.120.22[.]24 (Proton66 OOO, AS198953, Russie) — exploitation de CVE-2026-35273 (RCE Oracle PeopleSoft 8.61/8.62), ~300 instances ciblées dans 100+ organisations dont universités
  • Nemesys ransomware : IP 141.98.83[.]86 (FlyServers, AS209588) — Mimikatz, LaZagne, outils NirSoft, persistance via clé Run HKCU
  • Ollama Honeypot / CVE-2026-7482 : IP 78.85.31[.]182 (Rostelecom, AS12389) — coinminer, LLMjacking
  • WantToCry ransomware : IP 87.225.105[.]217 (Rostelecom, AS12389)
  • Fluffy Wolf : IP 195.2.67[.]129 (VDSina, AS48282) — phishing ciblant des organisations russes
  • Black Basta : IP 109.172.88[.]38 (VDSina, AS48282) — vishing Teams, spam de registration-bombing, installation AnyDesk
  • Gremlin Stealer (variant évolué) : IP 194.87.92[.]109 (MTW/JSC Mediasoft, AS48347) — exfiltration, payload XOR dans ressource .NET
  • Pink Extortion Group : IP 185.178.208[.]153 (DDoS-Guard, AS57724) — vol de données Microsoft 365, exfiltration via Microsoft Graph API
  • Silent Ransom Group (SRG) : IP 130.204.1[.]83 (A1 Bulgaria) — infrastructure DNS fast-flux
  • DevilNFC (Android) : IP 185.203.116[.]18 (Belcloud)
  • XenoRAT / Gentlemen Ransomware : IP 92.39.211[.]142 (MTS)
  • Pioneer Kitten (probable) : IP 83.168.110[.]191 (SkyPass Solutions) — exploitation CVE-2026-0257 (Palo Alto GlobalProtect bypass)
  • ProxyCB botnet / TeamSpy : IP 195.62.53[.]253 (IPServer)

🗺️ Répartition géographique des C2

  • Russie : 929 IPs uniques (45,7%)
  • Pologne : 438 IPs (21,5%) — dispersées sur de nombreux petits fournisseurs
  • Bulgarie : 298 IPs (14,7%)
  • Roumanie : 199 IPs (9,8%)
  • Ukraine : 170 IPs (8,4%)

📋 Type d’article

Publication de recherche CTI à visée analytique, présentant une cartographie systématique de l’infrastructure malveillante régionale via la plateforme Host Radar de Hunt.io, avec des requêtes HuntSQL reproductibles et des exemples d’acteurs actifs.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys (Persistence)
  • T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1219 — Remote Access Software (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1486 — Data Encrypted for Impact (Impact)

IOC

Malware / Outils

  • Keitaro TDS (other)
  • Tactical RMM (rat)
  • Cobalt Strike (framework)
  • Sliver (framework)
  • Gophish (other)
  • Hajime (botnet)
  • Mozi (botnet)
  • Mirai (botnet)
  • JOMANGY (backdoor)
  • ZenharR (other)
  • minirat (rat)
  • Mimikatz (tool)
  • LaZagne (tool)
  • AnyDesk (tool)
  • Gremlin Stealer (stealer)
  • XenoRAT (rat)
  • DevilNFC (other)
  • Acunetix (tool)
  • ProxyCB (botnet)

🟢 Indice de vérification factuelle : 67/100 (haute)

  • ⬜ hunt.io — source non référencée (0pts)
  • ✅ 28906 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 26 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 2/3 IOCs confirmés (AbuseIPDB, ThreatFox, VirusTotal) (12pts)
  • ✅ 14 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Cloud Atlas, INJ3CTOR3, JINX-0164 (5pts)
  • ⬜ 0/4 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 146.70.53.171 (ip) → VT (10/91 détections)
  • 185.22.154.73 (ip) → VT (15/91 détections)

🔗 Source originale : https://hunt.io/blog/eastern-europe-malicious-infrastructure-report