🔍 Contexte

Publié le 19 juin 2026 par SpyCloud Labs, cet article présente une analyse technique approfondie de l’infrastructure opérationnelle du groupe à l’origine du dataset « FortiBleed », initialement découvert par le chercheur Volodymyr « Bob » Diachenko. SpyCloud a obtenu une copie des données et les a analysées contre son schéma de brèches.

🎯 Nature de la campagne

La campagne, active depuis le 19 mai 2026, est opérée par un courtier d’accès initial (IAB) russophone utilisant des techniques de mass-scanning et brute-force (spray-and-pray) contre des équipements exposés sur Internet :

  • 73 932 pare-feux Fortinet FortiGate (credentials SSL-VPN valides, 21 632 domaines, 194 pays)
  • 336 583 portails Synology DSM (port 5001)
  • 247 584 URLs de portails Sophos
  • 163 650 serveurs MSSQL (~2,1 milliards de tentatives, 2 compromissions confirmées via compte sa)

🖥️ Infrastructure identifiée (3 serveurs)

  • Serveur de brute-force (n5a7729, 193.8..) : génération de 1 167 307 503 combinaisons hôte/credential pour FortiGate ; toujours actif au moment de la capture
  • Poste opérateur (ncb3e3f, 193.8..) : développement de code (Cursor AI), lab de 7 VMs Kali, utilisation d’impacket, OpenConnect, CyberStrike ; exfiltration de tickets Kerberos, hashes NTLM, données Group Policy
  • Serveur Hashtopolis (85.11.*.*) : craquage de ~143 000 hashes Kerberos et ~33 000 hashes NetNTLM via GPUs loués sur vast.ai ; opérationnel à partir du 31 mai 2026

🤖 Utilisation de l’IA

Les opérateurs ont utilisé Cursor (éditeur de code IA) pour développer leurs outils personnalisés, dont :

  • Un bot Telegram de craquage nommé « Cracker v10 »
  • Des scripts d’audit Active Directory et de corrélation de hashes

Ils ont également déployé CyberStrike, un framework de pentest agentique open source basé sur des LLMs.

💥 Exfiltration notable

À partir du 7 juin 2026, les opérateurs ont conduit des intrusions manuelles ciblées. En rejouant un cookie de session FortiGate capturé via OpenFortiVPN, ils ont accédé à un contractant de défense turc et exfiltré :

  • 105 Go de données militaires sensibles (12 000+ fichiers)
  • Manuels de maintenance de systèmes déployés (KORKUT, HISAR, SARP)
  • Documents crypto-radio, modèles CAD, firmwares, photos/vidéos de terrain en Ukraine jusqu’à mi-2026

💰 Attribution et monétisation

L’acteur SantaAd, compte russophone actif sur le forum Exploit, a implicitement revendiqué la campagne :

  • 12 juin 2026 : ouverture d’une enchère pour ~7 000 accès Fortinet à 25 000 USD
  • 16 juin : augmentation du prix à 60 000 USD après publication du blog Hudson Rock sur FortiBleed
  • Post antérieur du 11 mai 2026 : vente d’accès Fortinet à une entreprise US (140 M$ de CA)

📊 Victimologie

  • Ciblage opportuniste, majoritairement PME (59% dans la tranche 10-50 M$ de CA annuel)
  • Pays les plus représentés : Inde (2 700 cibles), États-Unis (2 392)
  • Secteur le plus touché : IT services (~2 000 victimes), par effet de masse et non ciblage délibéré
  • Commentaires en russe dans les scripts : "Собираю revenue из результатов агентов"

📄 Type d’article

Analyse technique et threat intelligence produite par SpyCloud Labs, visant à documenter l’infrastructure, les TTPs, la victimologie et l’attribution d’une opération IAB active.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • SantaAd (cybercriminal) —

TTP

  • T1110.001 — Brute Force: Password Guessing (Credential Access)
  • T1110.003 — Brute Force: Password Spraying (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1133 — External Remote Services (Initial Access)
  • T1550.004 — Use Alternate Authentication Material: Web Session Cookie (Lateral Movement)
  • T1003.006 — OS Credential Dumping: DCSync (Credential Access)
  • T1558 — Steal or Forge Kerberos Tickets (Credential Access)
  • T1039 — Data from Network Shared Drive (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1046 — Network Service Discovery (Discovery)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1588.002 — Obtain Capabilities: Tool (Resource Development)
  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
  • T1090 — Proxy (Command and Control)

IOC

  • Fichiers : merge_revenue.py

Malware / Outils

  • Hashtopolis (tool)
  • CyberStrike (framework)
  • impacket (framework)
  • OpenConnect (tool)
  • OpenFortiVPN (tool)
  • Cursor (tool)
  • Cracker v10 (tool)
  • hashcat (tool)

🟢 Indice de vérification factuelle : 71/100 (haute)

  • ✅ spycloud.com — source reconnue (liste interne) (20pts)
  • ✅ 29348 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 14 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : SantaAd (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://spycloud.com/blog/what-spycloud-found-inside-the-fortibleed-threat-actor-infrastructure/