🗞️ Contexte

Article de presse Reuters publié le 15 juillet 2026, basé sur une investigation journalistique et les alertes d’un chercheur indépendant en cybersécurité, Rakesh Krishnan.

🎯 Incident

Le groupe ransomware World Leaks a publié sur son site dark web (accessible uniquement via navigateur spécialisé) un cache de ~19 000 fichiers totalisant 14,3 Go, référencés sous l’acronyme KKNP (Kudankulam Nuclear Power Plant). Ces fichiers font partie d’un ensemble plus large de 858 000 fichiers Reliance présents sur le site.

Les fichiers sont en ligne depuis le 11 juin 2026 et couvrent la période 2016 à mi-2025.

🏭 Victime et données exposées

  • Reliance Infrastructure (filiale du groupe Reliance d’Anil Ambani), contractant chargé de la conception et construction des unités 3 et 4 de la centrale de Kudankulam (Tamil Nadu)
  • Les données exposées comprennent :
    • Plans de ventilation et systèmes de refroidissement des unités 3 et 4
    • Plan complet d’une salle de contrôle commune
    • Propositions de fournisseurs et liste de fournisseurs approuvés
    • Comptes-rendus d’inspection conjointe NPCIL/Reliance (2024)
    • Polices d’assurance (couverture de 112 millions USD en cas d’acte terroriste sur l’unité 3 ou 4)

🔗 Vecteur d’attaque

  • Activité suspecte détectée le 29 mai sur un serveur hébergé par le prestataire tiers Yotta Data Centre
  • L’activité a été immédiatement interrompue et l’exécution du ransomware suspectée a été bloquée selon Yotta
  • Reliance Infrastructure a informé Yotta fin juin de revendications de violation par des acteurs externes
  • Reliance confirme une “violation partielle” de ses données

🏛️ Réponse institutionnelle

  • Nuclear Power Corporation of India (NPCIL) : en communication avec Reliance ; indique que les données exposées concernent uniquement des installations de services communs, sans lien avec les systèmes de sûreté ou sécurité nucléaire
  • CERT-In : enquête en cours
  • Yotta : investigation technique partagée avec Reliance Infrastructure
  • CERT-In, bureau du Premier ministre, Département de l’Énergie Atomique : pas de réponse aux sollicitations de Reuters

🕵️ Contexte acteur

World Leaks est un groupe ransomware connu ayant précédemment ciblé Nike et le groupe Tata (en juin 2026, demande de rançon de 1,5 million USD pour des fichiers Tata contenant des designs confidentiels d’Apple et Tesla). Le groupe publie les données après refus de paiement.

📌 Antécédents

En 2019, un malware lié à un groupe nord-coréen avait été découvert sur le réseau administratif de la centrale de Kudankulam.

📰 Type d’article

Article de presse d’investigation révélant un incident de fuite de données affectant une infrastructure critique nucléaire indienne, avec confirmation partielle de la victime et réponses institutionnelles.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • World Leaks (cybercriminal) — orkl.eu

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1657 — Financial Theft (Impact)
  • T1567.002 — Exfiltration to Cloud Storage (Exfiltration)
  • T1078 — Valid Accounts (Defense Evasion)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ reuters.com — source non référencée (0pts)
  • ✅ 11205 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : World Leaks (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.reuters.com/world/india/files-relating-indias-largest-nuclear-power-plant-kudankulam-exposed-data-breach-2026-07-15/?ref=metacurity.com