Trois campagnes AiTM exposées via un serveur mal configuré : codemado, mail-argenta, saroula01

🔍 Contexte Le 13 juillet 2026, l’équipe CTI de Lexfo publie une analyse approfondie issue de la découverte, fin avril 2026, d’un répertoire ouvert sur le serveur 185.163.204.7 (Budapest, AS56322 ServerAstra Kft.). Un serveur Python HTTP (python3 -m http.server 8080) exposait publiquement l’intégralité d’une plateforme d’attaque active : configurations Evilginx, logs de capture, archives, installeurs RMM, combolists et fichiers de session Telegram. 👤 Acteurs identifiés codemado est un opérateur égyptien actif depuis 2018, identifié via .bash_history, un fichier de session Telegram (SQLite), des commentaires en arabe dans ses scripts, et une présence sur BlackHatWorld/CrackingX. Il opère sous les alias MaDoO, MaDosc, MADO. Il déploie une plateforme AiTM complète sur picis.net (enregistré le 13 mars 2026) avec un arsenal de 7 outils RMM et distribue MaDoO Blaster v4.7.3, un outil de spam/phishing commercial connecté à l’écosystème cybercriminel The Quarry de RockyBelling. ...

17 juillet 2026 · 7 min
Dernière mise à jour le: 18 juillet 2026 📝