Le groupe russe Evil Corp est actuellement un des plus actifs dans le mondes. Un vaste opération a été menée dans 4 pays pour mettre hors ligne et saisir plus de 100 serveurs et domaines. Le groupe avait infecté presque 15 000 sites WordPress avec SocGholish. L'opération avait été initiée dès 2024 par 9 pays dont la France pour cibler les actions de ces hackers.

SocGholish, également connu sous le nom FakeUpdates, exploite des sites WordPress compromis pour diffuser de fausses invitations à mettre à jour un navigateur. Les visiteurs qui exécutent le fichier téléchargé ouvrent un accès à distance aux attaquants, qui peuvent ensuite déployer des rançongiciels ou procéder à l'exfiltration de données. Actif depuis 2017, le dispositif est opéré par le groupe TA569, également désigné sous les appellations Mustard Tempest, Gold Prelude ou UNC1543. TA569 fonctionne comme un courtier en accès initial : il compromet des postes rattachés à des réseaux d'entreprise, puis revend cet accès à d'autres acteurs criminels. La chaîne d'attaque se déroule en quatre étapes : acquisition de trafic, filtrage, leurre de mise à jour et exécution d'un implant sur l'appareil ciblé.

Les failles sur WordPress sont récurrentes et régulièrement, de nombreux sites sont attaqués ou servent de portes dérobées. 

« SocGholish ne constitue pas une menace de niche. Ses activités atteignent en profondeur les environnements du secteur public et du secteur commercial, ouvrant la voie à d'autres cybercriminels pour accéder aux réseaux », déclare le Dr Renée Burton, vice-présidente d'Infoblox Threat Intel. « Nous sommes fiers d'être partenaires d'Operation Endgame ; TA569 et ses affiliés ont vraisemblablement vécu une très mauvaise semaine. Cela étant, nous continuerons à suivre l'évolution de cet environnement : si d'anciens partenariats réapparaissent, et quelles nouvelles infrastructures ou chaînes de diffusion pourraient se mettre en place en réponse. »