Un groupe cybercriminel a scanné et piégé plus d’un million de sites WordPress et Joomla à l’aide de failles publiques, avant d’oublier de fermer l’accès à son propre serveur de travail, dévoilant tout son mode opératoire aux chercheurs.
Une négligence notable a été observée dans le cadre d’une campagne de cybercriminalité. Un groupe capable de concevoir des scanners automatisés et de déployer des webshells complexes a laissé un serveur Python accessible sans restriction pendant 22 jours. Cette erreur a permis aux chercheurs de Ctrl-Alt-Intel et SOCRadar de documenter presque en temps réel l’intégralité de l’opération.
Les analyses menées par ces équipes, publiées respectivement le 22 juin et le 9 juillet 2026, indiquent que l’opérateur a lancé un serveur web Python pour le transfert de fichiers, sans aucune authentification, ce qui a facilité l’accès à des informations sensibles.
Ce qui a été trouvé
Les 800 Mo et 434 fichiers découverts en ligne révèlent toute la mécanique de l’attaque : outils de piratage, scripts de test des failles, résultats de scans sur des milliers de sites, et historique des commandes tapées par le pirate.
Les attaquants utilisaient FOFA, un moteur de recherche chinois de cybercartographie, pour identifier des cibles. Ils exploitaient des vulnérabilités connues, principalement dans des extensions obsolètes de WordPress et Joomla. Un fichier de test était d’abord déployé pour valider l’exploit, puis remplacé par une backdoor, garantissant un accès persistant au site compromis.
En tout, près de 1,4 million de sites auraient été ciblés. Cependant, ce chiffre représente les cibles identifiées et non les compromissions effectives. Les estimations varient : Ctrl-Alt-Intel évoque 25 195 sites avec preuve de compromission, tandis que SOCRadar recense plus de 5 700 webshells actifs.
Un acteur chinois comme principal suspect
Parmi les vulnérabilités exploitées, celle affectant le plugin Breeze (CVE-2026-3844) semble la plus rentable, avec plus de 17 000 sites compromis sur environ 45 000 ciblés. L’attribution à un acteur chinois repose sur des indices techniques, notamment l’utilisation d’une version modifiée de BestShell, un outil open source d’origine chinoise, ainsi que des commentaires en chinois dans les fichiers analysés.
Cette situation souligne la nécessité pour les administrateurs de sites web de mettre à jour régulièrement leurs systèmes et de renforcer leurs mes de sécurité pour éviter de telles compromissions.
Source : Ctrl-Alt-Intel, SOCRadar
