Un groupe cybercriminel a scanné et piégé plus d’un million de sites WordPress et Joomla à l’aide de failles publiques, avant d’oublier de fermer l’accès à son propre serveur de travail, dévoilant tout son mode opératoire aux chercheurs.

C’est une négligence presque comique au regard du reste. Une équipe capable de construire des scanners automatisés et de déployer des webshells à plusieurs couches d’obfuscation a laissé un simple serveur Python tourner en accès libre pendant 22 jours.

De quoi permettre aux chercheurs de Ctrl-Alt-Intel et SOCRadar de reconstituer, presque en temps réel, l’intégralité de la campagne.

Dans leurs analyses distinctes, publiées respectivement le 22 juin et le 9 juillet 2026, les équipes de recherche en cybersécurité pointent la même erreur basique : l’opérateur a lancé un serveur web Python pour déplacer des fichiers, et l’a laissé actif sans la moindre authentification.

Capture d'écran du répertoire exposé // Source : SOC Radar
Capture d’écran du répertoire exposé // Source : SOCRadar

Ce qui a été trouvé

Les 800 Mo et 434 fichiers découverts en ligne révèlent toute la mécanique de l’attaque : outils de piratage, scripts de test des failles, résultats de scans sur des milliers de sites ou encore historique des commandes tapées par le pirate.

Concrètement, l’équipe repérait ses cibles via FOFA, un moteur de recherche chinois de cybercartographie qui permet d’identifier des appareils, services et sites exposés sur Internet. Les attaquants exploitaient ensuite des vulnérabilités connues, principalement présentes dans des extensions obsolètes de WordPress et Joomla.

Un fichier de test était d’abord déployé pour valider l’exploit. En cas de succès, il était remplacé par une backdoor complète, garantissant un accès discret et persistant au site compromis.

Au total, près de 1,4 million de sites auraient été ciblés. Ce chiffre correspond toutefois aux cibles identifiées, et non aux compromissions effectives. Les estimations divergent d’ailleurs selon les sources : Ctrl-Alt-Intel évoque 25 195 sites avec preuve de compromission, tandis que SOCRadar recense plus de 5 700 webshells actifs.

Un acteur chinois comme principal suspect

Parmi les vulnérabilités exploitées, celle affectant le plugin Breeze (CVE-2026-3844) apparaît comme la plus rentable, avec plus de 17 000 sites compromis sur environ 45 000 ciblés.

Outre le recours à FOFA, l’attribution à un acteur chinois repose sur plusieurs indices techniques. La backdoor déployée apparaît ainsi comme une version modifiée de BestShell, un outil open source d’origine chinoise bien documenté. Les fichiers analysés contiennent également des commentaires en chinois, ainsi que des traces concordantes dans l’historique des commandes.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !


Un édito exclusif, un guide, une reco de lecture et l’agenda de la rédaction : c’est ce que vous trouverez tous les jeudis dans ToujoursPlus, la newsletter tech écrite par Julien Cadot. Inscrivez-vous gratuitement ici !