Sliver

🌍 Contexte Publié le 24 juin 2026 par Hunt.io sur son blog de recherche, cet article présente les résultats d’une cartographie systématique de l’infrastructure malveillante en Europe de l’Est, couvrant 10 pays (Biélorussie, Bulgarie, République tchèque, Hongrie, Pologne, Moldavie, Roumanie, Russie, Slovaquie, Ukraine) sur une fenêtre de trois mois (12 mars – 12 juin 2026). 📊 Chiffres clés 4 331 détections malveillantes totales chez 302 fournisseurs distincts 3 923 serveurs C2 (~90,6% des détections) 146 posts IOC Hunter, 111 répertoires ouverts malveillants, 90 sites de phishing, 61 IOCs publics Friendhosting LTD (Bulgarie) : 2 100 serveurs C2, soit 53,5% de toute l’infrastructure C2 régionale Top 5 fournisseurs : Friendhosting (BG, 2100), TimeWeb (RU, 277), PQ Hosting (MD, 175), Neterra (BG, 137), AlexHost (MD, 120) 🦠 Distribution des familles de malwares Keitaro : 1 277 IPs C2 uniques (TDS abusé pour malvertising/phishing) Tactical RMM : 232 C2s (outil légitime détourné) Acunetix : 173 C2s (infrastructure de reconnaissance) Gophish : 122 C2s Hajime : 106, Mozi : 82 (botnets IoT) Cobalt Strike : 35 vérifiés + 44 non vérifiés Sliver : 35 🎯 Acteurs de menace et campagnes identifiés Cloud Atlas APT : IP 146.70.53[.]171 (M247, AS9009, Bulgarie) et plusieurs IPs sur Baxet (AS51659) — ciblage d’entités gouvernementales/diplomatiques en Russie et Biélorussie, exploitation de CVE-2018-0802, phishing ZIP avec LNK/PowerShell INJ3CTOR3 : IP 146.70.129[.]114 (AS9009, République tchèque) — campagne de fraude téléphonique FreePBX, dropper Bash multi-étapes, webshell JOMANGY, outil ZenharR JINX-0164 : IP 89.36.224[.]5 (AS9009, Roumanie) — package npm malveillant @velora-dex/sdk v9.4.1, RAT Go minirat, ciblage développeurs macOS DeFi/Web3 ShinyHunters : IP 176.120.22[.]24 (Proton66 OOO, AS198953, Russie) — exploitation de CVE-2026-35273 (RCE Oracle PeopleSoft 8.61/8.62), ~300 instances ciblées dans 100+ organisations dont universités Nemesys ransomware : IP 141.98.83[.]86 (FlyServers, AS209588) — Mimikatz, LaZagne, outils NirSoft, persistance via clé Run HKCU Ollama Honeypot / CVE-2026-7482 : IP 78.85.31[.]182 (Rostelecom, AS12389) — coinminer, LLMjacking WantToCry ransomware : IP 87.225.105[.]217 (Rostelecom, AS12389) Fluffy Wolf : IP 195.2.67[.]129 (VDSina, AS48282) — phishing ciblant des organisations russes Black Basta : IP 109.172.88[.]38 (VDSina, AS48282) — vishing Teams, spam de registration-bombing, installation AnyDesk Gremlin Stealer (variant évolué) : IP 194.87.92[.]109 (MTW/JSC Mediasoft, AS48347) — exfiltration, payload XOR dans ressource .NET Pink Extortion Group : IP 185.178.208[.]153 (DDoS-Guard, AS57724) — vol de données Microsoft 365, exfiltration via Microsoft Graph API Silent Ransom Group (SRG) : IP 130.204.1[.]83 (A1 Bulgaria) — infrastructure DNS fast-flux DevilNFC (Android) : IP 185.203.116[.]18 (Belcloud) XenoRAT / Gentlemen Ransomware : IP 92.39.211[.]142 (MTS) Pioneer Kitten (probable) : IP 83.168.110[.]191 (SkyPass Solutions) — exploitation CVE-2026-0257 (Palo Alto GlobalProtect bypass) ProxyCB botnet / TeamSpy : IP 195.62.53[.]253 (IPServer) 🗺️ Répartition géographique des C2 Russie : 929 IPs uniques (45,7%) Pologne : 438 IPs (21,5%) — dispersées sur de nombreux petits fournisseurs Bulgarie : 298 IPs (14,7%) Roumanie : 199 IPs (9,8%) Ukraine : 170 IPs (8,4%) 📋 Type d’article Publication de recherche CTI à visée analytique, présentant une cartographie systématique de l’infrastructure malveillante régionale via la plateforme Host Radar de Hunt.io, avec des requêtes HuntSQL reproductibles et des exemples d’acteurs actifs. ...

🔍 Contexte Publié le 2 juin 2026 par la Sophos Counter Threat Unit (CTU), cet article décrit la découverte d’un acteur malveillant utilisant des technologies d’intelligence artificielle pour accélérer le développement de malwares et tester des techniques d’évasion EDR. L’activité a été détectée via l’enregistrement d’un endpoint anormal dans un tenant client, déclenchant des alertes sur des payloads issus du répertoire C:\Users\User\Documents\test. 🧩 Infrastructure et outils découverts Plusieurs fichiers malveillants ont été identifiés dans ce répertoire, révélant un framework d’attaque complet : ...

🔍 Contexte Publié le 14 mai 2026 par l’équipe Research Special Operations (RSO) de Tenable, cet article de type FAQ documente l’exploitation active et continue de cinq vulnérabilités critiques dans Cisco Catalyst SD-WAN Controller et Manager, ainsi qu’une sixième vulnérabilité plus ancienne utilisée pour l’élévation de privilèges. 📅 Chronologie des divulgations 25 février 2026 : Cisco divulgue CVE-2026-20127 (CVSS 10.0, authentication bypass, déjà exploitée) et trois autres CVEs (CVE-2026-20133, CVE-2026-20128, CVE-2026-20122). CISA ajoute CVE-2026-20127 et CVE-2022-20775 au catalogue KEV. Mars 2026 : Exploitation de CVE-2026-20128 et CVE-2026-20122 confirmée. ZeroZenX Labs publie un PoC pour la chaîne CVE-2026-20133/20128/20122. Avril 2026 : Exploitation de CVE-2026-20133 confirmée. CISA ajoute CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122 au KEV. 14 mai 2026 : Cisco divulgue CVE-2026-20182 (CVSS 10.0, zero-day, authentication bypass). CISA émet la Directive d’urgence 26-03 et ajoute CVE-2026-20182 au KEV avec échéance de remédiation au 17 mai 2026. 🛡️ Vulnérabilités impliquées CVE Description CVSS CVE-2026-20182 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20127 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20133 Information Disclosure (Manager) 7.5 CVE-2026-20128 Credential Access (Manager) 7.5 CVE-2026-20122 Arbitrary File Overwrite (Manager) 5.4 CVE-2022-20775 CLI Path Traversal / Privilege Escalation 7.8 🎯 Acteur principal : UAT-8616 UAT-8616, désigné par Cisco Talos comme un acteur de menace « hautement sophistiqué », exploite les infrastructures Cisco SD-WAN depuis au moins 2023. Son infrastructure présente des chevauchements avec des réseaux Operational Relay Box (ORB). Il cible des secteurs d’infrastructure critique. ...

🔍 Contexte Publié le 7 mai 2026 par SentinelLABS (Alex Delamotte), cet article présente l’analyse technique complète de PCPJack, un framework de vol d’identifiants cloud découvert le 28 avril 2026 via une règle de chasse VirusTotal orientée Kubernetes. 🎯 Description de la menace PCPJack est un framework modulaire en Python conçu pour se propager en ver sur l’infrastructure cloud exposée. Sa première action distinctive est d’évincer et supprimer les artefacts associés au groupe TeamPCP (PCPCat), avant d’installer ses propres outils. L’acteur derrière PCPJack est potentiellement un ancien opérateur de TeamPCP ou quelqu’un de très familier avec leurs outils. ...

🔍 Contexte Rapid7 Labs publie le 26 mars 2026 un rapport d’investigation approfondi sur une campagne d’espionnage avancée ciblant les réseaux de télécommunications mondiaux. L’acteur identifié est Red Menshen, un groupe à nexus chinois (China-nexus), opérant sur le long terme avec des objectifs d’espionnage stratégique à haute valeur. 🎯 Cibles et objectifs Les cibles principales sont les opérateurs de télécommunications et les réseaux gouvernementaux. L’objectif est de positionner des accès persistants et dormants (« sleeper cells ») au cœur des infrastructures télécoms, permettant : ...

🧩 Contexte Publié le 22 mars 2026 sur le dépôt GitHub de BishopFox, le projet Wasm Stager est un toolkit offensif open-source conçu pour la recherche en sécurité offensive. Il exploite le standard WebAssembly System Interface (WASI) pour créer un outil d’accès distant multiplateforme. 🏗️ Architecture Le toolkit se compose de deux composants principaux : Stager : un runtime WASI qui charge et exécute le module implant avec une intégration système complète Implant : un module Wasm compatible Sliver, offrant des capacités de shell distant et de reconnaissance système ⚙️ Fonctionnement technique Le stager est configuré à la compilation avec les paramètres suivants : ...

Selon Palo Alto Networks (Unit 42), un nouveau ransomware nommé 01flip a été observé dès juin 2025, utilisé par le cluster financier CL-CRI-1036 contre un nombre limité de victimes en Asie-Pacifique, incluant des entités d’infrastructures critiques en Asie du Sud-Est. Les opérateurs demandent 1 BTC et communiquent via e‑mail/messagerie privée. Une publication sur forum clandestin évoque des fuites concernant des victimes aux Philippines et à Taïwan, bien que 01flip lui‑même n’intègre pas d’exfiltration. Aucune vitrine de double extorsion n’a été constatée. ...