🔍 Contexte

Publié le 1er juillet 2026 par Arctic Wolf sur leur blog de recherche, cet article présente les résultats d’investigations menées tout au long de 2026 sur plusieurs intrusions attribuées au groupe Anubis ransomware, opérant selon un modèle Ransomware-as-a-Service (RaaS).

🎯 Acteur de menace

Anubis est un groupe RaaS disposant d’un programme d’affiliation. Le rapport couvre des comportements observés à travers plusieurs intrusions distinctes, reflétant le tradecraft de différents affiliés plutôt qu’un opérateur unique et uniforme.

🚪 Techniques d’accès initial

  • Exploitation de CitrixBleed 2 (CVE-2025-5777) : une vulnérabilité ciblant l’infrastructure VPN Citrix, utilisée comme vecteur d’accès initial
  • Abus d’infrastructure VPN : thème récurrent à travers les intrusions documentées

🛠️ Techniques post-compromission

  • Utilisation d’outils RMM (Remote Monitoring and Management) légitimes pour se fondre dans l’activité normale des environnements victimes
  • Living-off-the-land : usage de binaires légitimes présents sur les systèmes victimes pour éviter la détection
  • Techniques d’évasion des mesures de sécurité en place dans les environnements ciblés

📌 Thèmes clés identifiés

  1. Abus d’infrastructure VPN pour l’accès initial
  2. Blending avec l’activité légitime via des solutions RMM
  3. Utilisation de binaires légitimes (LOTL)

📄 Nature de l’article

Il s’agit d’une publication de recherche CTI produite par Arctic Wolf, visant à fournir de nouvelles informations sur les techniques d’accès initial et d’évasion du groupe Anubis, afin d’offrir aux défenseurs des opportunités de détection précoce et de confinement.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Anubis (cybercriminal) —

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1219 — Remote Access Software (Command and Control)
  • T1218 — System Binary Proxy Execution (Defense Evasion)

IOC

Malware / Outils

  • Anubis (ransomware)
  • cloudflared (tool)

🟡 Indice de vérification factuelle : 56/100 (moyenne)

  • ✅ arcticwolf.com — source reconnue (Rösti community) (20pts)
  • ✅ 1153 chars — texte partiel (10pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Anubis (5pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://arcticwolf.com/resources/blog/citrixbleed-2-to-cloudflared-the-tools-and-techniques-behind-anubis-ransomware-attacks/

🖴 Archive : https://web.archive.org/web/20260703083543/https://arcticwolf.com/resources/blog/citrixbleed-2-to-cloudflared-the-tools-and-techniques-behind-anubis-ransomware-attacks/