Le groupe de ransomware Clop continue de représenter une menace majeure pour les entreprises mondiales, exploitant récemment une vulnérabilité critique de type zero-day dans Oracle E-Business Suite. Depuis sa création en 2019, Clop est devenu l’un des gangs de ransomware les plus prolifiques, ayant affecté plus de 1 025 organisations et extorqué plus de 500 millions de dollars. Issu d’une variante du ransomware CryptoMix, Clop évite de cibler les pays de la Communauté des États Indépendants (CEI), ses origines étant soupçonnées en Russie. Le nom du groupe, “Clop”, fait référence à l’extension de fichier distinctive (.cl0p) utilisée dans leurs attaques, qui se traduit par “punaises de lit” en russe.
Ce qui distingue Clop, c’est sa capacité à exploiter des vulnérabilités zero-day de pointe, soulignant sa sophistication technique. Des analyses récentes ont identifié une vulnérabilité zero-day critique dans Oracle E-Business Suite, détectée pour la première fois en juin 2025, avec Oracle publiant des indicateurs de compromission (IOC) en octobre 2025. La vulnérabilité, CVE-2025-61882, permet aux attaquants de compromettre les systèmes de planification des ressources d’entreprise.
L’enquête a révélé deux adresses IP clés partagées par Oracle, conduisant à l’identification de 96 IP supplémentaires. L’Allemagne comptait le plus grand nombre de ces IP, suivie par le Brésil et le Panama, avec la Russie en bas de liste, indiquant la stratégie de Clop pour diversifier son infrastructure.
Une avancée a été réalisée lorsque les chercheurs ont lié l’infrastructure d’exploitation actuelle à l’exploitation de la vulnérabilité MOVit en 2023. Quarante et une des IP identifiées ont été utilisées lors de la campagne MOVit, montrant les schémas d’infrastructure persistants de Clop. Une analyse plus approfondie a connecté les attaques actuelles à des campagnes passées grâce à la correspondance des empreintes digitales des certificats SSL et la réutilisation de sous-réseaux.
Ces découvertes mettent en lumière la dépendance de Clop à une infrastructure persistante et sa stratégie pour échapper aux mesures de blocage régionales tout en maintenant la continuité opérationnelle.
