🔍 Contexte
Le 13 juillet 2026, l’équipe CTI de Lexfo publie une analyse approfondie issue de la découverte, fin avril 2026, d’un répertoire ouvert sur le serveur 185.163.204.7 (Budapest, AS56322 ServerAstra Kft.). Un serveur Python HTTP (python3 -m http.server 8080) exposait publiquement l’intégralité d’une plateforme d’attaque active : configurations Evilginx, logs de capture, archives, installeurs RMM, combolists et fichiers de session Telegram.
👤 Acteurs identifiés
codemado est un opérateur égyptien actif depuis 2018, identifié via .bash_history, un fichier de session Telegram (SQLite), des commentaires en arabe dans ses scripts, et une présence sur BlackHatWorld/CrackingX. Il opère sous les alias MaDoO, MaDosc, MADO. Il déploie une plateforme AiTM complète sur picis.net (enregistré le 13 mars 2026) avec un arsenal de 7 outils RMM et distribue MaDoO Blaster v4.7.3, un outil de spam/phishing commercial connecté à l’écosystème cybercriminel The Quarry de RockyBelling.
mail-argenta est un opérateur nigérian identifié via des métadonnées de commits Git et des logs d’infostealer contenant son propre mot de passe MySQL (Passionate1947.) réutilisé sur ses comptes personnels. Il opère 23 dépôts GitHub publics ciblant M365, Kraken, Bybit, LinkedIn, eHarmony, iCloud.
saroula01 est l’auteur du fork black-queen d’Evilginx, spécialisé dans l’abus du Device Code Flow OAuth. Son identité reste non attribuée. Sa campagne sur romnor.ca a accumulé 218 victimes confirmées dans 12 pays sur plus d’un an (juin 2025 – juillet 2026), avec 94% de cibles corporate.
🛠️ Outillage
- Evilginx forks : red-queen (mail-argenta), black-queen/master (saroula01), tous deux utilisés par codemado
- RMM : ScreenConnect (ZIP trojanisé), SimpleHelp, SuperOps, GetScreen.me, XEOX, ITarian
- Droppers/stagers : dddd.ps1 (PowerShell obfusqué), Statement.js (JScript), mad_133517.vbs (VBScript 3 couches), AdobeClientSetupV16.msi, NEWPANEL.msi
- AsyncRAT avec botnet
MaDOOOOOOOO_Work, C283.136.211.85:7077 - MaDoO Blaster : outil de mailing bulk avec mode B2B via Microsoft Graph API, génération de leurres AI, évasion de filtres
- Développement assisté par IA (CyberNeurova, Claude Haiku 4.5, Claude Opus 4.6)
🎯 Campagnes
- codemado / picis.net : AiTM M365, actif du 20 avril au 29 mai 2026 minimum, gateway anti-bot Node.js avec FingerprintJS2, tunnel Cloudflare, pipeline de validation SMTP (587_checker.py), 2 victimes corporate confirmées (France + Amérique du Nord)
- mail-argenta / bot_7183501714 : 15 victimes confirmées, sessions O365, Google, Kraken, Bybit, iCloud, eHarmony ; cookie ESTSAUTHPERSISTENT valide jusqu’en juin 2027
- saroula01 / romnor.ca : Device Code Flow, 218 victimes, 97 tokens OAuth actifs avec
autoRefresh: true, rafraîchis jusqu’à 25 fois chacun
🔗 Connexion à The Quarry
MaDoO Blaster est explicitement promu par RockyBelling dans son canal Telegram « Rocky War Room » et référencé dans le rapport SOCRadar sur The Quarry. codemado y opère comme fournisseur tiers, non comme affilié hiérarchique.
📄 Type d’article
Publication de recherche CTI à haute valeur opérationnelle, visant à documenter trois opérateurs actifs, leurs infrastructures, leur attribution et leurs IoCs pour permettre la détection et le blocage.
🧠 TTPs et IOCs détectés
Acteurs de menace
- codemado (cybercriminal) —
- mail-argenta (cybercriminal) —
- saroula01 (cybercriminal) —
- RockyBelling (cybercriminal) —
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1557.002 — Adversary-in-the-Middle: ARP Cache Poisoning (Credential Access)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1528 — Steal Application Access Token (Credential Access)
- T1110.004 — Brute Force: Credential Stuffing (Credential Access)
- T1562 — Impair Defenses (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1090.002 — Proxy: External Proxy (Command and Control)
- T1219 — Remote Access Software (Command and Control)
- T1102 — Web Service (Command and Control)
- T1119 — Automated Collection (Collection)
- T1114 — Email Collection (Collection)
IOC
- IPv4 :
185.163.204.7— AbuseIPDB · VT · ThreatFox - IPv4 :
216.180.245.166— AbuseIPDB · VT · ThreatFox - IPv4 :
188.227.196.240— AbuseIPDB · VT · ThreatFox - IPv4 :
83.136.211.85— AbuseIPDB · VT · ThreatFox - IPv4 :
195.20.115.103— AbuseIPDB · VT · ThreatFox - IPv4 :
20.118.27.127— AbuseIPDB · VT · ThreatFox - Domaines :
picis.net— VT · URLhaus · ThreatFox - Domaines :
queeenspropertyservices.ca— VT · URLhaus · ThreatFox - Domaines :
romnor.ca— VT · URLhaus · ThreatFox - Domaines :
briefing.romnor.ca— VT · URLhaus · ThreatFox - Domaines :
share.romnor.ca— VT · URLhaus · ThreatFox - Domaines :
account.romnor.ca— VT · URLhaus · ThreatFox - Domaines :
download.romnor.ca— VT · URLhaus · ThreatFox - Domaines :
sign.romnor.ca— VT · URLhaus · ThreatFox - Domaines :
team.romnor.ca— VT · URLhaus · ThreatFox - Domaines :
outi.picis.net— VT · URLhaus · ThreatFox - Domaines :
owa.picis.net— VT · URLhaus · ThreatFox - Domaines :
events.api.picis.net— VT · URLhaus · ThreatFox - Domaines :
accounts.picis.net— VT · URLhaus · ThreatFox - Domaines :
account.picis.net— VT · URLhaus · ThreatFox - Domaines :
track.picis.net— VT · URLhaus · ThreatFox - Domaines :
cdn.picis.net— VT · URLhaus · ThreatFox - Domaines :
sso.picis.net— VT · URLhaus · ThreatFox - Domaines :
secure.picis.net— VT · URLhaus · ThreatFox - Domaines :
billing.picis.net— VT · URLhaus · ThreatFox - Domaines :
verify.picis.net— VT · URLhaus · ThreatFox - Domaines :
vinicious.picis.net— VT · URLhaus · ThreatFox - Domaines :
gui.picis.net— VT · URLhaus · ThreatFox - Domaines :
img1.picis.net— VT · URLhaus · ThreatFox - Domaines :
img6.picis.net— VT · URLhaus · ThreatFox - Domaines :
hervw.picis.net— VT · URLhaus · ThreatFox - Domaines :
hervw2.picis.net— VT · URLhaus · ThreatFox - Domaines :
hnrvrve.picis.net— VT · URLhaus · ThreatFox - Domaines :
hrvetbr.picis.net— VT · URLhaus · ThreatFox - Domaines :
hterw.picis.net— VT · URLhaus · ThreatFox - Domaines :
roweri.picis.net— VT · URLhaus · ThreatFox - Domaines :
htejre.picis.net— VT · URLhaus · ThreatFox - Domaines :
hvr34gr.picis.net— VT · URLhaus · ThreatFox - Domaines :
jrhte.picis.net— VT · URLhaus · ThreatFox - Domaines :
ewfweo.picis.net— VT · URLhaus · ThreatFox - Domaines :
hcwdg.picis.net— VT · URLhaus · ThreatFox - Domaines :
mejeff.picis.net— VT · URLhaus · ThreatFox - Domaines :
b8c4u.picis.net— VT · URLhaus · ThreatFox - Domaines :
c9x3h.picis.net— VT · URLhaus · ThreatFox - Domaines :
q4b7j.picis.net— VT · URLhaus · ThreatFox - Domaines :
l5p0n.picis.net— VT · URLhaus · ThreatFox - Domaines :
e2a6m.picis.net— VT · URLhaus · ThreatFox - Domaines :
g7k1w.picis.net— VT · URLhaus · ThreatFox - Domaines :
f3d9v.picis.net— VT · URLhaus · ThreatFox - Domaines :
h6y2s.picis.net— VT · URLhaus · ThreatFox - Domaines :
t5z1r.picis.net— VT · URLhaus · ThreatFox - Domaines :
w4j1q.picis.net— VT · URLhaus · ThreatFox - Domaines :
v3n8p.picis.net— VT · URLhaus · ThreatFox - Domaines :
k9m2x.picis.net— VT · URLhaus · ThreatFox - URLs :
http://185.163.204.7:8080— URLhaus - URLs :
https://verify.picis.net/verify-human— URLhaus - SHA1 :
6a4cb1c75e1c59bbd4fbc4667f4c3bb5a74fe965— VT · MalwareBazaar - SHA1 :
2ea61cdead470f570586f513e22d43d787befec6— VT · MalwareBazaar - SHA1 :
35f23dfb4135d4cd38a6a29e64d79191d166344d— VT · MalwareBazaar - SHA1 :
eb8ede7598220dbef28953dc7df2e5418d52fa36— VT · MalwareBazaar - SHA1 :
f496736e2d2344de7963d4f722381f03227ec452— VT · MalwareBazaar - SHA1 :
cf3cbf93adf43d50618c88705857d3adb123ed24— VT · MalwareBazaar - SHA1 :
ea5d2096a2ef3dfe4fb870bd1f0270efaea993a6— VT · MalwareBazaar - SHA1 :
e9a44b3fe951cca57313533d6bc1d11e789c2018— VT · MalwareBazaar - Emails :
codemadooo@gmail.com - Emails :
bertiemurrays20@gmail.com - Emails :
mailargenta1947@gmail.com - Emails :
soft6dev@gmail.com - Fichiers :
AdobeClientSetupV16.msi - Fichiers :
NEWPANEL.msi - Fichiers :
dddd.jpg - Fichiers :
dddd.ps1 - Fichiers :
getpass.exe - Fichiers :
pass.exe - Fichiers :
install.msi - Fichiers :
securefile.zip - Fichiers :
Statement.js - Fichiers :
mad_133517.vbs - Fichiers :
securefile.vbs - Fichiers :
587_checker.py - Fichiers :
SSADocuments.pdf586577082.hta - Fichiers :
ScreenConnect_Patch[@hackers_assemble].zip - Chemins :
C:\Program Files (x86)\XEOX\xeox-agent_x64.exe
Malware / Outils
- Evilginx (framework)
- red-queen (framework)
- black-queen (framework)
- MaDoO Blaster (tool)
- AsyncRAT (rat)
- SimpleHelp (tool)
- ScreenConnect (tool)
- SuperOps RMM (tool)
- GetScreen.me (tool)
- XEOX RMM (tool)
- ITarian Endpoint Manager (tool)
- dddd.ps1 (loader)
- Statement.js (loader)
- mad_133517.vbs (loader)
🟢 Indice de vérification factuelle : 75/100 (haute)
- ⬜ blog.lexfo.fr — source non référencée (0pts)
- ✅ 47835 chars — texte complet (fulltext extrait) (15pts)
- ✅ 83 IOCs dont des hashes (15pts)
- ✅ 4/8 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 12 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : codemado, mail-argenta, saroula01 (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
188.227.196.240(ip) → VT (13/91 détections)picis.net(domain) → VT (4/91 détections)queeenspropertyservices.ca(domain) → VT (3/91 détections)romnor.ca(domain) → VT (6/91 détections)
🔗 Source originale : https://blog.lexfo.fr/opendir-to-phishing-operator.html