🗓️ Contexte

Source : CyberScoop, publié le 6 juillet 2026. L’article rapporte la découverte et la confirmation d’une campagne de défacement par 404 hijacking ciblant des sous-domaines officiels de l’armée américaine.

🎯 Cibles et impact

Deux sous-domaines de l’armée américaine ont été compromis :

  • oil.army.mil : site de l’Open Innovation Lab de l’armée (laboratoire de test pour logiciels et capacités cyber, créé en 2020)
  • ai2c.army.mil : site de l’Artificial Intelligence Integration Center (créé en 2019)

Les pages d’erreur 404 affichaient des messages de défacement incluant :

  • Des insultes envers le président Donald Trump et l’ambassadeur Tom Barrack
  • Un appel à « FREE KURDISTAN »
  • Une signature « Kurdish sr was here »

🔧 Technique d’attaque

La technique utilisée est le 404 hijacking : exploitation du système de gestion des erreurs d’un site web (via compromission d’un plugin, d’un CMS ou d’une configuration serveur) pour contrôler le contenu affiché sur les pages d’erreur, sans toucher les pages principales du site. Les sites affectés fonctionnent sous WordPress et une infrastructure cloud Microsoft.

🕵️ Découverte et réponse

Le défacement a été découvert par le chercheur indépendant Ronald Lovelace, qui a notifié l’armée américaine et CyberScoop. Les sites ont été mis hors ligne après contact de CyberScoop. Le porte-parole de l’armée, le Major Sean Minton, a confirmé que les pages étaient hébergées sur une plateforme tierce legacy non connectée au réseau d’entreprise de l’armée. Une enquête de réponse aux incidents est en cours.

❓ Inconnues

  • Durée de la compromission inconnue
  • Vecteur d’accès initial non déterminé (interne ou tiers)
  • Étendue réelle de la compromission au-delà du défacement non établie
  • Décision de patcher ou d’abandonner la plateforme tierce non encore prise

📰 Type d’article

Article de presse spécialisée relatant un incident de sécurité confirmé, avec déclarations officielles de l’armée américaine et contexte géopolitique hacktiviste.

🧠 TTPs et IOCs détectés

TTP

  • T1491.002 — Defacement: External Defacement (Impact)
  • T1190 — Exploit Public-Facing Application (Initial Access)

IOC


🟡 Indice de vérification factuelle : 39/100 (moyenne)

  • ⬜ cyberscoop.com — source non référencée (0pts)
  • ✅ 7873 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ 0/2 IOCs confirmés externellement (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cyberscoop.com/us-army-websites-defaced-404-hijacking-kurdistan/