Cartographie de l'infrastructure C2 en Europe de l'Est : 3 900+ serveurs sur 302 fournisseurs

🌍 Contexte Publié le 24 juin 2026 par Hunt.io sur son blog de recherche, cet article présente les résultats d’une cartographie systématique de l’infrastructure malveillante en Europe de l’Est, couvrant 10 pays (Biélorussie, Bulgarie, République tchèque, Hongrie, Pologne, Moldavie, Roumanie, Russie, Slovaquie, Ukraine) sur une fenêtre de trois mois (12 mars – 12 juin 2026). 📊 Chiffres clés 4 331 détections malveillantes totales chez 302 fournisseurs distincts 3 923 serveurs C2 (~90,6% des détections) 146 posts IOC Hunter, 111 répertoires ouverts malveillants, 90 sites de phishing, 61 IOCs publics Friendhosting LTD (Bulgarie) : 2 100 serveurs C2, soit 53,5% de toute l’infrastructure C2 régionale Top 5 fournisseurs : Friendhosting (BG, 2100), TimeWeb (RU, 277), PQ Hosting (MD, 175), Neterra (BG, 137), AlexHost (MD, 120) 🦠 Distribution des familles de malwares Keitaro : 1 277 IPs C2 uniques (TDS abusé pour malvertising/phishing) Tactical RMM : 232 C2s (outil légitime détourné) Acunetix : 173 C2s (infrastructure de reconnaissance) Gophish : 122 C2s Hajime : 106, Mozi : 82 (botnets IoT) Cobalt Strike : 35 vérifiés + 44 non vérifiés Sliver : 35 🎯 Acteurs de menace et campagnes identifiés Cloud Atlas APT : IP 146.70.53[.]171 (M247, AS9009, Bulgarie) et plusieurs IPs sur Baxet (AS51659) — ciblage d’entités gouvernementales/diplomatiques en Russie et Biélorussie, exploitation de CVE-2018-0802, phishing ZIP avec LNK/PowerShell INJ3CTOR3 : IP 146.70.129[.]114 (AS9009, République tchèque) — campagne de fraude téléphonique FreePBX, dropper Bash multi-étapes, webshell JOMANGY, outil ZenharR JINX-0164 : IP 89.36.224[.]5 (AS9009, Roumanie) — package npm malveillant @velora-dex/sdk v9.4.1, RAT Go minirat, ciblage développeurs macOS DeFi/Web3 ShinyHunters : IP 176.120.22[.]24 (Proton66 OOO, AS198953, Russie) — exploitation de CVE-2026-35273 (RCE Oracle PeopleSoft 8.61/8.62), ~300 instances ciblées dans 100+ organisations dont universités Nemesys ransomware : IP 141.98.83[.]86 (FlyServers, AS209588) — Mimikatz, LaZagne, outils NirSoft, persistance via clé Run HKCU Ollama Honeypot / CVE-2026-7482 : IP 78.85.31[.]182 (Rostelecom, AS12389) — coinminer, LLMjacking WantToCry ransomware : IP 87.225.105[.]217 (Rostelecom, AS12389) Fluffy Wolf : IP 195.2.67[.]129 (VDSina, AS48282) — phishing ciblant des organisations russes Black Basta : IP 109.172.88[.]38 (VDSina, AS48282) — vishing Teams, spam de registration-bombing, installation AnyDesk Gremlin Stealer (variant évolué) : IP 194.87.92[.]109 (MTW/JSC Mediasoft, AS48347) — exfiltration, payload XOR dans ressource .NET Pink Extortion Group : IP 185.178.208[.]153 (DDoS-Guard, AS57724) — vol de données Microsoft 365, exfiltration via Microsoft Graph API Silent Ransom Group (SRG) : IP 130.204.1[.]83 (A1 Bulgaria) — infrastructure DNS fast-flux DevilNFC (Android) : IP 185.203.116[.]18 (Belcloud) XenoRAT / Gentlemen Ransomware : IP 92.39.211[.]142 (MTS) Pioneer Kitten (probable) : IP 83.168.110[.]191 (SkyPass Solutions) — exploitation CVE-2026-0257 (Palo Alto GlobalProtect bypass) ProxyCB botnet / TeamSpy : IP 195.62.53[.]253 (IPServer) 🗺️ Répartition géographique des C2 Russie : 929 IPs uniques (45,7%) Pologne : 438 IPs (21,5%) — dispersées sur de nombreux petits fournisseurs Bulgarie : 298 IPs (14,7%) Roumanie : 199 IPs (9,8%) Ukraine : 170 IPs (8,4%) 📋 Type d’article Publication de recherche CTI à visée analytique, présentant une cartographie systématique de l’infrastructure malveillante régionale via la plateforme Host Radar de Hunt.io, avec des requêtes HuntSQL reproductibles et des exemples d’acteurs actifs. ...

26 juin 2026 · 5 min

Campagne de smishing mondiale : 1 628 URLs malveillantes ciblant 19 pays sur 3 continents

🌍 Contexte Publié le 27 mai 2026 par Hunt.io, cet article présente les résultats d’une investigation sur une vaste campagne de smishing (phishing par SMS) initialement détectée via un avertissement de sécurité du portail gouvernemental roumain Ghișeul.ro (7 mai 2026). L’enquête a révélé une opération coordonnée à l’échelle mondiale. 📊 Ampleur de la campagne 1 628 URLs malveillantes confirmées actives dans 19 pays (Europe, Amériques, Caucase) 32 adresses IP backend réparties sur 6 régions géographiques Un identifiant de campagne unique de 128 caractères (39dabeddef7c2f0806110b305bd8ca7307c13ac987e7c64fc1d46752868a258958eba99f16413f522a4961dfb09565983 36fc258794664ccc9f71f25e8f688c5) présent dans le HTML de chaque page Infrastructure hébergée sur : Tencent Cloud (15 IPs), Cloudflare CDN (14 IPs), Alibaba Cloud (3 IPs), ALEXHOST Moldova (2 IPs) 🎯 Secteurs et entités ciblés Pays Organisation ciblée URLs Royaume-Uni DPD (livraison) 558 Irlande DPD (livraison) 47 États-Unis T-Mobile, DMV NC/OH 39 Espagne SEUR (postal) 9 Roumanie Ghișeul.ro (gouvernement) 9 Bulgarie MVR (Ministère de l’Intérieur) 10 Slovénie E-uprava (gouvernement) 9 France DAO/ASF (péages) 3 Géorgie TBC Pay (banque/amendes) 5 Albanie Vodafone 1 🔬 Analyse technique Deux templates de phishing distincts : ...

31 mai 2026 · 7 min
Dernière mise à jour le: 19 juillet 2026 📝