APT28/FancyBear exposĂ© : fuite dâun serveur C2 et arsenal XSS contre des webmails gouvernementaux
Selon Ctrl-Alt-Intel, qui sâappuie sur les travaux initiaux de Hunt.io et des avis de CERT-UA et ESET, une erreur dâOPSEC dâAPT28/FancyBear a exposĂ© un open-directory sur un VPS NameCheap (203.161.50.145) opĂ©rant au moins depuis septembre 2024, rĂ©vĂ©lant le code source C2, des payloads XSS, des modules dâexfiltration et des journaux dĂ©taillant des compromissions en Ukraine, Roumanie, Bulgarie, GrĂšce, Serbie et MacĂ©doine du Nord. Les chercheurs ont trouvĂ© une seconde opendir sur le mĂȘme serveur que celle dĂ©crite par Hunt.io (port 8889, janvierâmars 2026), contenant des preuves substantielles dâopĂ©rations en cours : plus de 2 800 emails exfiltrĂ©s, plus de 240 jeux dâidentifiants (dont mots de passe et secrets TOTP 2FA), 140+ rĂšgles Sieve de redirection furtive, et 11 500+ contacts rĂ©coltĂ©s. Lâinfrastructure (zhblz[.]com â 203.161.50.145) Ă©tait dĂ©jĂ reliĂ©e par CERT-UA en 2024 Ă de lâexploitation de Roundcube (CVE-2023-43770) et Ă des leurres ClickFix. ...