<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>Saroula01 on CyberVeille</title>
    <link>https://cyberveille.ch/tags/saroula01/</link>
    <description>Recent content in Saroula01 on CyberVeille</description>
    <generator>Hugo -- 0.146.0</generator>
    <language>fr-fr</language>
    <copyright>Cyberveille CC BY-NC-SA 4.0</copyright>
    <lastBuildDate>Fri, 17 Jul 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://cyberveille.ch/tags/saroula01/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Trois campagnes AiTM exposées via un serveur mal configuré : codemado, mail-argenta, saroula01</title>
      <link>https://cyberveille.ch/posts/2026-07-17-trois-campagnes-aitm-exposees-via-un-serveur-mal-configure-codemado-mail-argenta-saroula01/</link>
      <pubDate>Fri, 17 Jul 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-07-17-trois-campagnes-aitm-exposees-via-un-serveur-mal-configure-codemado-mail-argenta-saroula01/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🔍 Contexte&lt;/h2&gt;
&lt;p&gt;Le 13 juillet 2026, l&amp;rsquo;équipe CTI de Lexfo publie une analyse approfondie issue de la découverte, fin avril 2026, d&amp;rsquo;un &lt;strong&gt;répertoire ouvert&lt;/strong&gt; sur le serveur &lt;code&gt;185.163.204.7&lt;/code&gt; (Budapest, AS56322 ServerAstra Kft.). Un serveur Python HTTP (&lt;code&gt;python3 -m http.server 8080&lt;/code&gt;) exposait publiquement l&amp;rsquo;intégralité d&amp;rsquo;une plateforme d&amp;rsquo;attaque active : configurations Evilginx, logs de capture, archives, installeurs RMM, combolists et fichiers de session Telegram.&lt;/p&gt;
&lt;h2 id=&#34;-acteurs-identifiés&#34;&gt;👤 Acteurs identifiés&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;codemado&lt;/strong&gt; est un opérateur égyptien actif depuis 2018, identifié via &lt;code&gt;.bash_history&lt;/code&gt;, un fichier de session Telegram (SQLite), des commentaires en arabe dans ses scripts, et une présence sur BlackHatWorld/CrackingX. Il opère sous les alias MaDoO, MaDosc, MADO. Il déploie une plateforme AiTM complète sur &lt;code&gt;picis.net&lt;/code&gt; (enregistré le 13 mars 2026) avec un arsenal de 7 outils RMM et distribue &lt;strong&gt;MaDoO Blaster v4.7.3&lt;/strong&gt;, un outil de spam/phishing commercial connecté à l&amp;rsquo;écosystème cybercriminel &lt;strong&gt;The Quarry&lt;/strong&gt; de RockyBelling.&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
