Cyber-extorsion : Cl0p revient déjà avec une nouvelle campagne

La nouvelle est tombée hier, le 18 décembre en fin de journée : le groupe de cybercriminels Cl0p s’est lancé dans une énième campagne de cyberextorsion de masse. Fidèle à son mode opératoire depuis quelques années, il vise des systèmes exposés sur Internet, affectés par une vulnérabilité, et susceptibles de lui donner accès rapidement à de grandes quantités de fichiers.

Cette fois-ci, c’est la plateforme de partage et de synchronisation de fichiers CentreStack de Gladinet qui est concernée. Le 9 octobre déjà, Huntress alertait sur l’exploitation d’une vulnérabilité l’affectant, la CVE-2025-11371. Quelques jours plus tard, le 14 octobre, l’éditeur rendait disponible une mise à jour la corrigeant. Mais la vulnérabilité était déjà exploitée fin septembre. Ce n’était pas la première, affectant CentreStack, à être exploitée cette année : la CVE-2025-30406 l’avait précédée en avril.

Selon le collectif de renseignement sur les menaces Curated Intelligence, la nouvelle campagne de Cl0p s’appuierait sur l’exploitation de la CVE-2025-11371. Elle fait suite à une autre campagne, récente, d’exploitation de la CVE-2025-61882, qui affectait Oracle E-Business Suite.

Ce n’est pas la première fois que Cl0p joue cette carte. C’est même plus ou moins devenu une signature du groupe : obtention du code d’exploitation d’une vulnérabilité, suivie de son exploitation en masse – de manière industrialisée – pour dérober des données sur des systèmes vulnérables exposés directement sur Internet, se finissant par un chantage.