Tour d’horizon : ces vulnérabilités exploitées industriellement par Cl0p

Quel est le point commun entre Entrust, Fluke, GlobalLogic, Carglass Allemagne, le service national de santé britannique (le NHS), Harvard, l’illustre Washington Post, ou encore Logitech ? Tous ont fait l’objet d’une revendication de cyberattaque sous la bannière de Cl0p au cours des dernières semaines. Avec une quarantaine d’autres.

L’enseigne de cybercriminel semble actuellement égrainer les noms de victimes de sa dernière campagne d’exploitation industrielle d’une vulnérabilité inédite, la CVE-2025-61882, corrigée début octobre par Oracle : elle affecte sa E-Business Suite.

Ce n’est pas la première fois que Cl0p joue cette carte. C’est même plus ou moins devenu une signature du groupe : obtention du code d’exploitation d’une vulnérabilité inédite, suivie de l’exploitation en masse de cette vulnérabilité, de manière industrialisée, pour dérober des données sur des systèmes vulnérables exposés directement sur Internet, puis chantage.

En toute logique, les systèmes de gestion de transfert de fichiers ont été en première ligne à plusieurs reprises, au cours des dernières années. Mais ils n’ont pas été seuls.

• CVE-2024-50623, Cleo Harmony, LexiCom et VLTrader. La précédente campagne de ce type remonte à la fin 2024. Plus de 400 victimes avaient par la suite été revendiquées au cours des trois premiers mois de 2025.
• CVE-2023-47246, SysAid. Au l’automne 2023, l’exploitation de cette vulnérabilité affectant un outil d’administration à distance (RMM) est attribuée à Cl0p, qui épinglera plus tard une dizaine de victimes.
• CVE-2023-34262, MoveIt Transfer. Début juin 2023, Microsoft attribue à un acteur lié à Cl0p l’exploitation, en masse, de ces vulnérabilités. Au cours des mois de juin et juillet suivants, l’enseigne publiera ses revendications de victimes. Près de 300 ont été concernées.
• CVE-2023-27350 et CVE-2023-27351, PaperCut. Au printemps 2023, Microsoft attribue à un acteur lié à Cl0p l’exploitation de ces vulnérabilités. Le nombre de victimes effectivement concerné reste difficile à estimer.
• CVE-2023-0669, GoAnywhere MFT. En mars 2023, Cl0p revendique une centaine de victimes. Elles apparaissent liées à l’exploitation, en masse de cette vulnérabilité. Une campagne commencée fin janvier.
• CVE-2021-35211, SolarWinds Serv-U. SolarWinds avait corrigé cette vulnérabilité en juillet 2021. Cl0p s’est lancé dans son exploitation dans le courant de l’automne suivant.
• CVE-2021-27104, Accellion FTA. L’exploitation de la vulnérabilité commence fin 2020. Il faudra compter une centaine de victimes, parmi lesquelles le spécialiste français des géosciences CGG, Steris, CSX, Bombardier, ou encore Qualys.

Historiquement, Cl0p est connu pour son rançongiciel, découvert début 2019. Il a notamment été utilisé contre le CHU de Rouen, à l’automne de cette année-là, et l’université de Maastricht. Ce ransomware a été originellement attribué au groupe TA505, sur lequel l’Agence nationale pour la sécurité des systèmes d’information (Anssi) s’était penchée avec force détails au mois de juin 2020.

Un an plus tard, la police ukrainienne annonçait l’arrestation de six pirates suspectés d’avoir conduit des cyberattaques avec le rançongiciel Cl0p. Mais c’était manifestement loin d’être un clap de fin pour l’enseigne éponyme.
En 2023, l’enseigne est toutefois apparue prendre ses distances avec le chiffrement des données de ses victimes, privilégiant l’extorsion simple, basée uniquement sur le vol de données et la menace de leur divulgation.

Cette approche avait déjà été tentée en 2022 par Karakurt et RansomHouse. D’aucuns envisageaient une adoption plus large de stratégie en 2021. Worldleaks s’y est mis récemment.

Mais depuis REvil/Sodinokibi en 2021, Cl0p semble bien être la seule enseigne de cybercriminels capable de faire sauter tous les compteurs, en une seule campagne. À l’époque, REvil avait déjà exploité une vulnérabilité. Elle affectait le service d’administration à distance VSA de Kaseya. Selon les cybercriminels, plus d’un million de machines à travers le monde avaient été affectées.