PrinterBug

🔍 Contexte Le 14 mai 2026, KELA Cyber Intelligence Center publie une analyse approfondie d’une fuite de données internes concernant The Gentlemen, une opération RaaS (Ransomware-as-a-Service) active depuis septembre 2025. La fuite, initialement postée le 4 mai 2026 sur Exploit.in par l’utilisateur XxHDSandwichxX, couvre des communications internes du 7 novembre 2025 au 30 avril 2026. 📊 Ampleur et positionnement Entre janvier et mai 2026, KELA a recensé 3 349 victimes de ransomware revendiquées publiquement (+14,5% vs 2025). The Gentlemen revendique 328 victimes sur cette période, soit 10% des attaques mondiales, se positionnant en 2e place mondiale derrière Qilin (17%). ...

🔍 Contexte Rapport technique publié le 10 avril 2026 par Gambit Security (Eyal Sela, Director of Threat Intelligence). L’analyse est basée sur des matériaux forensiques récupérés depuis trois VPS utilisés dans la campagne, incluant des logs de sessions AI, des scripts d’exploitation et des rapports de reconnaissance automatisés. 🎯 Victimes et périmètre Entre fin décembre 2025 et mi-février 2026, neuf organisations gouvernementales mexicaines ont été compromises : SAT (Servicio de Administración Tributaria) : 195M dossiers fiscaux + 52M annuaires exfiltrés, compromission domaine-wide, API de requête live construite et exposée publiquement, mécanisme de falsification de certificats fiscaux opérationnalisé, 305 serveurs internes analysés Estado de Mexico : 15,5M dossiers véhicules, 3,6M propriétaires, millions de dossiers population Registro Civil CDMX : ~220M dossiers civils, centaines de dossiers judiciaires, milliers de credentials employés Jalisco : 50K dossiers patients, 17K victimes violences domestiques, 36K employés santé, 180K dossiers numériques ; infrastructure virtualisation complète compromise (cluster Nutanix 13 nœuds, 37/38 serveurs DB) ; rootkits déployés sur 20 agences INE (Instituto Nacional Electoral) : 13,8K dossiers cartes électeurs exfiltrés, pool estimé à dizaines de millions Michoacán : 2,28M dossiers propriétés, 2K comptes avec mots de passe en clair SADM Monterrey : 3,5K dossiers achats/fournisseurs, 5K dossiers appels d’offres Tamaulipas : Compromission Active Directory Salud CDMX : Exploitation serveur Zimbra 🤖 Rôle des plateformes AI Claude Code (Anthropic) a généré et exécuté ~75% des commandes d’exécution distante via son interface tool-use. Il a servi d’assistant d’exploitation interactif : écriture d’exploits, construction de tunnels, cartographie d’architecture, escalade de privilèges, harvesting de credentials, anti-forensics. ...

Selon CrowdStrike, cette analyse décrit CVE-2025-54918, une vulnérabilité critique permettant la compromission de contrôleurs de domaine Active Directory via coercition d’authentification et NTLM relay. ⚙️ Mécanisme: l’attaque abuse du protocole MS-RPRN (technique « PrinterBug ») pour forcer l’authentification du contrôleur de domaine, intercepte les paquets NTLM, retire les drapeaux de sécurité SEAL et SIGN tout en préservant LOCAL_CALL, puis relaie l’authentification modifiée vers LDAP/LDAPS afin d’obtenir des privilèges SYSTEM. Elle ne requiert qu’un compte de domaine faiblement privilégié et contourne des contrôles comme le channel binding et la signature LDAP. ...