🔍 Contexte
Publié le 3 juillet 2026 par RANSOM-ISAC (recherche individuelle de The Raven File), ce rapport analyse en détail un incident d’extorsion de données impliquant le groupe Kairos et une entité gouvernementale américaine non identifiée, survenu en mai-juin 2025. L’analyse repose sur une transcription de négociation divulguée et des observations de flux de paiement blockchain.
🎯 Nature de l’attaque
Kairos est décrit comme un acteur d’extorsion de données uniquement (data-only extortion), sans ransomware confirmé. Aucun échantillon d’encrypteur ou de binaire de verrouillage n’a été identifié. L’accès initial aurait été obtenu via une attaque par force brute sur les identifiants. Le groupe a exfiltré plus de 2 To de données (1 602 775 fichiers) avant de prendre contact avec la victime le 19 mai 2025.
💬 Déroulement de la négociation
La négociation s’est étalée sur 28 jours :
- 19 mai 2025 : Kairos contacte la victime, demande initiale de 3 millions de dollars
- 21 mai 2025 : La victime est listée sur le site de fuite de Kairos
- 4 juin 2025 : Première contre-offre de la victime : 100 000 $
- 6 juin 2025 : Kairos réduit sa demande à 2 millions de dollars ; la victime monte à 255 000 $
- 9 juin 2025 : Demande finale de Kairos à 1 million de dollars avec délai au vendredi ; la victime propose 430 000 $
- 13 juin 2025 : Paiement de 1 million de dollars effectué en Bitcoin
- 16 juin 2025 : Kairos fournit les livrables post-paiement et revendique l’accès par force brute
Tactiques de pression observées : escalade des délais, ancrage élevé avec concessions progressives, ciblage de données sensibles (dossier « prosecutors office »), pression réputationnelle, urgence manufacturée.
💰 Flux de paiement Bitcoin
Adresse de paiement Kairos : bc1q0zkms9vuhp767q6yp3t4tj8fkellxz5h3dxgvl
Après réception, les fonds ont été rapidement divisés en deux branches :
- Branche « Main Guy » (6,61 BTC) → transfert de 6,50 BTC vers une adresse de dépôt ByBit
- Branche « Helper » (2,83 BTC) → fragmentation vers des adresses associées à OKX et BELQI (exchange russe)
L’ensemble des mouvements s’est produit dans une fenêtre de 3h34 le 16 juin 2025.
🏗️ Infrastructure
- Site de négociation Tor :
nerqnacjmdy3obvevyol7qhazkwkv57dwqvye5v46k5bcujtfa6sduad.onion - Backend exposé résolvant vers 62.182.81.38 (Ukraine, AS30860 - Virtual Systems LLC)
- Serveur : OpenSSH 9.6p1 Ubuntu, NGINX
- Email de contact :
[email protected] - Saisie de l’infrastructure par le Département Cyber du SBU (Service de sécurité ukrainien)
- Kairos actif depuis novembre 2024, 88 victimes listées, dernière victime observée le 1er juin 2026
📋 Limites analytiques
La « preuve de suppression » fournie par Kairos (fichier texte de 238 Mo, 1 310 568 lignes) n’est pas cryptographiquement vérifiable. Aucun mécanisme indépendant de vérification de suppression n’est démontré.
📌 Type d’article
Rapport d’incident détaillé et étude de cas CTI, visant à documenter les tactiques de négociation de Kairos, les flux de paiement et les indicateurs techniques pour les équipes de threat intelligence et les organisations du secteur public.
🧠 TTPs et IOCs détectés
Acteurs de menace
TTP
- T1110 — Brute Force (Credential Access)
- T1567 — Exfiltration Over Web Service (Exfiltration)
- T1657 — Financial Theft (Impact)
- T1486 — Data Encrypted for Impact (Impact)
- T1491 — Defacement (Impact)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
IOC
- IPv4 :
62.182.81.38— AbuseIPDB · VT · ThreatFox - URLs :
http://nerqnacjmdy3obvevyol7qhazkwkv57dwqvye5v46k5bcujtfa6sduad.onion— URLhaus - URLs :
http://nerqnacjmdy3obvevyol7qhazkwkv57dwqvye5v46k5bcujtfa6sduad.onion/feedback/— URLhaus - URLs :
http://whodusp3s2z6rnenxhv7scc2w5fzsse5cmijll2vl7fo6ezk45zssjqd.onion— URLhaus - URLs :
http://dwgxeoaqykd3zdkhol5xpgsqabp4lys4ea7qpl3f2b75b2sdsex644id.onion— URLhaus - URLs :
http://usqa5b33yyc2u6kqf5au64cgj64acl2umtll76qutlmu7fckw6kh6wqd.onion— URLhaus - URLs :
http://2msn5sp3af3iy2ozj4235ccsb7pnpp4tkzyxdpzutyc2sxb3mujicfyd.onion— URLhaus - URLs :
http://esmhbczpio7umfnxog6bk23q3nok5fjuik2dttegvezqngg2oqklo7yd.onion— URLhaus - URLs :
http://vpj6dzqat4n4hwb625a4qjpuzd3bzrjgw5zlwa3l6uiazdwjcib3y6ad.onion— URLhaus - URLs :
http://sltc7wlafwiemito2kijqlxnmjgaxrrfihztjdl25vofh7kzvs7l5dqd.onion— URLhaus - URLs :
http://unrqdnruyae3bngm5txc6vgz7ny2fbdwjllzhq6eioew7te6xplyndid.onion— URLhaus - URLs :
http://khom5v7vmc2nomkze64dsbyenn3wlxkewg6dbsvt5sujl2rmrtfy4oid.onion— URLhaus - Emails :
[email protected] - Fichiers :
output.rar - Fichiers :
union.rar
🟡 Indice de vérification factuelle : 53/100 (moyenne)
- ⬜ ransom-isac.org — source non référencée (0pts)
- ✅ 37482 chars — texte complet (15pts)
- ✅ 15 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 1/4 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (8pts)
- ✅ 6 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : Kairos (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
62.182.81.38(ip) → VT (6/91 détections) + ThreatFox (Unknown malware)
🔗 Source originale : https://ransom-isac.org/blog/kairos-ransomware-data-extortion-case-study/