Kevin ..'s Recent LinkedIn Posts

🔴 Quand PFCloud vient frapper à la porte... Nos amis de PFCloud (AS51396) nous ont rendu visite hier soir. L'IP 176.65.132.94 — enregistrée chez ZeXoTeK / PFCLOUD Pfcloud UG — a scanné notre plateforme CTI (cti.ccitic.org). Accompagnée de leur voisin IPv6 2a14:7c1::2 sur wiki.ccitic.org. Les vieilles habitudes ont la vie dure. Le plus intéressant ? Cette même IP n'a qu'un seul port ouvert : 9999/TCP. Et qu'est-ce qui écoute dessus ? Un joli petit binaire ELF 32-bit ARM, servi brut en HTTP. 🔍 L'analyse en sandbox révèle : • Persistance via service Systemd (T1543.002) • Exécution de commandes shell • Fingerprinting kernel via uname (anti-VM) • Manipulation de logs (auth.log, kern.log) • Connexion C2 sortante 50 Ko. Lié statiquement. Cible : Linux/ARM — routeurs, NAS, IoT. 📎 VT scan URL : https://lnkd.in/eAtCiVmU 📎 VT comportement : https://lnkd.in/eqq-M9ZB IOCs : 🔸 176.65.132.94 (AS51396 — PFCLOUD) 🔸 2a14:7c1::2 (AS51396 — PFCLOUD) 🔸 SHA-256 : 3469a71e903ce376edebfe799b26ed8a63fcf89bc5a23b7b0f19cfccbf552313 🔸 MD5 : 0a6dabe8f234bec96ad15cdd76c7fa4c Merci pour la visite. On vous a gardé une chaise. 🪑 #ThreatIntelligence #Ransomware #Datacarry #PFCloud #BulletproofHosting #CTI #IOC #Malware #CCITIC #InfoSec #BlueTeam #Cybersecurity #Soc

🔴 CCITIC ASBL | Publication de rapport CTI | TLP:CLEAR Nous rendons public aujourd'hui notre premier rapport de Threat Intelligence officiel : 📄 CASE-RANS-01 — Datacarry Ransomware & PFCloud Bulletproof Hosting Ce que révèle ce rapport : 🎯 14 victimes confirmées en Europe (dont 2 en Belgique, Province de Liège) entre juin 2024 et novembre 2025 — secteurs : assurance, santé, aviation, pharma, éducation, juridique... 🔗 Un écosystème d'hébergement bulletproof sophistiqué orchestré par PFCloud (AS51396), impliquant 4 sociétés écrans UK/HK, avec manipulation avancée du routage BGP pour anonymiser les infrastructures criminelles. ⚙️ Vecteur initial de l'une des attaque : CVE-2023-48788 (Fortinet EMS SQLi + xp_cmdshell RCE), post-exploitation via Chisel WebSocket C2 (Go), backdoor RDP KB332.ps1. 💰 Paiements via Cryptomus — sanctionné par le Canada en octobre 2025 pour son rôle de passerelle vers la Russie. 🔎 Lien potentiel avec Akira ransomware via les mêmes ranges IP BPH. Pour les équipes SOC / CSIRT, le rapport inclut : ✅ 7 IOCs réseau actionnables (A1/B1) ✅ Hash SHA-256 des malwares identifiés ✅ Mapping MITRE ATT&CK complet (11 TTPs) ✅ Règles YARA & Sigma prêtes à déployer ✅ Ranges IP à bloquer Cette version TLP:CLEAR est librement partageable avec la communauté cyber. La version TLP:AMBER (avec identités des opérateurs) est disponible sur demande sur demande (contact@ccitic.org) pour les autorités officielles. 📥 Rapport disponible en français et en anglais sur https://www.ccitic.org ThreatIntelligence #Ransomware #CyberSecurity #DFIR #BulletproofHosting #Cybersécurité #PFCloud #SOC #CSIRT #MITRE #CCITIC #Blueteam #CyberCrime #Infosec

🚨 THREAT INTEL ALERT — Quand les méchants pensent être discrets... Alors, petite histoire du jour : notre SOC a reçu une visite cette semaine. Et visiblement, notre ami pensait passer inaperçu. C'est mignon. 🥹 Permettez-moi de vous présenter ColocaTel Inc — un nouvel avatar tout frais de la grande famille pfCloud/Datacarry. Oui, encore eux. On ne change pas une équipe qui perd. 📍 AS213438 🌐 https://colocatel.com (allez voir, c'est beau, on dirait un hébergeur légitime... presque) Le bingo des red flags est ouvert : 🔴 L'IP 193.142.147.209 nous a fait un petit coucou. Une habituée d'AbuseIPDB, véritable influenceuse sur VirusTotal. Regardez son réseau de "relations", c'est plus chargé qu'un arbre généalogique royal : https://lnkd.in/eBPMZWJC 🔴 Peering aux Pays-Bas avec... roulement de tambour... Skylink Data Center BV ! Quelle coïncidence, c'est le même peering que pfCloud et toute sa joyeuse galaxie de ransomware. Le monde est petit 🌍 https://lnkd.in/ekCVhWUV 🔴 Et pour ceux qui aiment les preuves en béton : dans le RIPE, on retrouve MNT-NETERRA et Skylink comme maintainers. Ça vous dit quelque chose ? Normal : ce sont exactement les mêmes maintainers que pfCloud et toutes ses déclinaisons. Ils recyclent littéralement la même infrastructure. Même pas un effort de camouflage, c'est presque vexant 😅 https://lnkd.in/eieuVNDi 🔴 Contact RIPE domicilié aux... Seychelles 🏝️ — 306 Victoria House, Victoria Mahe pour être précis. Parce que rien ne dit "hébergeur de confiance" comme une boîte postale dans un paradis fiscal : https://lnkd.in/eWNtRv3a 🔴 Support client sur Telegram uniquement. Évidemment. Parce que le ticketing c'est tellement 2010 : https://t.me/colocatel 🔴 WHOIS planqué derrière https://lnkd.in/eHrTc77k — On n'a vraiment rien à cacher, promis juré 🤞 🔴 Création de l'organisation RIPE le 10 février 2025. Tout neuf, tout beau, tout cramé. En résumé : Nouvelle enseigne, même cuisine, mêmes maintainers RIPE (Neterra + Skylink). pfCloud, Datacarry, ColocaTel... C'est comme les Power Rangers du bulletproof hosting : ils changent de costume mais c'est toujours les mêmes dedans. Et ils laissent leurs empreintes partout. 🦶 👉 Recommandation : Blacklistez AS213438 et dormez mieux la nuit. Vous aussi vous les collectionnez dans vos logs ? Partagez vos trophées en commentaire 👇 #Cybersécurité #ThreatIntel #SOC #InfoSec #BlueTeam #CTI #Bulletproof #DFIR #pfCloud #Datacarry #Neterra #Skylink

Depuis ce "hacking" par ransomware, énormément de choses ont changées, ont évoluées et ont permis la création du CCITIC alors que nous ne nous connaissions pas à la base. Résultat: une équipe soudée, qui a avance à échèle humaine et avec ses propres moyens actuellement mais avec des résultats crédibles que certains ont pu constatés en OFF. C'est avant tout une aventure humaine et constructive et qui nous a permis au final de rencontrer des personnes au top #France et qui a force de travail à prouvé notre détermination à nous attaquer à bras le corps au cyber criminels. Et surtout, on va essayer d'encore se surpasser pour ceux qui nous font confiance pour faire monter en XP les deux parties ! cc Hurkan KALAN Nicolas Casel Léon Amirkhanian Quentin LATZEL Fabien Bourgin Et des valeurs sur, qui nous ont permis d'aller vers le haut avec des conseils ! Erwan Bouliou Julien Metayer Baptiste Robert Clement Domingo cedric mattiussi Laurent M. et d'autres dans le domaine mais non tagué pour cause de confidentialité.

🔐 "T'inquiète, on sécurisera en prod." — Les dernières paroles célèbres de quelqu'un qui a passé un très mauvais week-end. 💀 On ne va pas se mentir : 2026 s'annonce chargé côté menaces cyber. Les ransomwares n'ont pas pris de bonnes résolutions. Les APT n'ont pas décidé de "lever le pied cette année". Et votre serveur avec le mot de passe admin:admin… il est toujours là. 👀 Alors voilà, on a une annonce à faire. Portés par notre passion pour la cybersécurité et l'intérêt croissant de la communauté, on a décidé de lancer un projet dédié au hardening. Un vrai. Un sérieux. Un complet. Et on ne fait pas les choses à moitié : 🏛️ Gouvernance & Gestion de projet — Parce que le hardening sans gouvernance, c'est comme un pentest sans rapport : ça s'est passé, mais personne ne sait quoi en faire. Politiques de sécurité, cadrage, PSSI, gestion des risques, conformité, pilotage de projets cyber… On pose les fondations avant de monter les murs. 🛡️ Hardening Cyber — Frameworks, bonnes pratiques, durcissement des postures. La colonne vertébrale. 🌐 Hardening Réseau — Parce que votre firewall avec la règle any any permit… c'est pas un firewall, c'est une suggestion. 😏 🖥️ Hardening Système & Serveur — SSH ouvert sur le port 22 avec root autorisé ? On va avoir une conversation. 🌍 Hardening Web — Headers de sécurité absents, CORS en mode *, stack traces en prod… On respire, on va régler ça. ⚙️ Ce projet est indépendant et porté par notre volonté de contribuer à la communauté cyber. C'est né de notre passion, de notre veille quotidienne et d'un constat simple : trop de systèmes sont compromis par manque de durcissement basique et trop de projets cyber échouent par manque de gouvernance. 🚧 C'est en cours de préparation. On construit ça brique par brique, avec rigueur. On vous dévoilera tout très bientôt. Mais si vous êtes du genre à : ✅ Auditer avant de déployer ✅ Lire les benchmarks CIS un vendredi soir ✅ Avoir une opinion forte sur chmod 777 ✅ Rédiger une PSSI avant même d'allumer le serveur ✅ Piloter un projet cyber avec un vrai Gantt (et pas un fichier Excel nommé "planning_final_v12_VRAI_FINAL.xlsx") …alors ce projet est fait pour vous. 🎯 📢 Restez connectés. L'annonce complète arrive. Et en attendant, allez vérifier vos configs. Et vos politiques de sécurité. Maintenant. Oui, maintenant. 😉 💡 — parce qu'au CCITIC, on ne s'arrête jamais vraiment. #Hardening #CyberSecurity #Infosec #BlueTeam #SysAdmin #NetworkSecurity #WebSecurity #ServerHardening #CIS #SecurityBaseline #Governance #PSSI #GRC #ProjectManagement #RiskManagement #Compliance #ISO27001 #Linux #Windows #ActiveDirectory #DevSecOps #PenTest #SOC #CSIRT #DFIR #CTI #CCB #ANSSI #CyberDefense #CCITIC #CyberCommunity #Infosec2026