Découvertes clés¶
Quatre observations tirées de 3 508 sessions qui révèlent des patterns invisibles aux honeypots traditionnels.
1. Technique d'évasion du botnet Kinsing¶
148 sessions ont utilisé le chemin /bin/./uname au lieu de /usr/bin/uname.
Cette astuce dot-slash est une signature du botnet de cryptominage Kinsing. Le chemin /bin/./uname résout vers le même binaire que /bin/uname, mais beaucoup de honeypots et systèmes de matching simple échouent à le normaliser.
Le cmd_router de HYDRA normalise les chemins avant traitement, donc chaque session Kinsing a été capturée et traitée correctement.
Point clé défensif
La normalisation des logs est critique. Si votre SIEM matche sur des chaînes de commandes exactes, /bin/./uname contourne vos règles de détection. Normalisez les chemins avant le matching.
Point clé offensif
L'obfuscation de chemin reste efficace contre la détection basée sur les signatures. L'astuce dot-slash est triviale mais largement non gérée.
2. Ciblage des nœuds Solana¶
303 tentatives de login ont utilisé les noms d'utilisateur sol (213) et solana (90).
Ce ne sont pas des credentials aléatoires — ils indiquent des scanners spécifiquement conçus pour trouver des nœuds validateurs Solana. Le nom solana est celui par défaut des outils CLI Solana, et sol est une abréviation courante dans les scripts d'installation de validateurs.
Point clé défensif
Si vous gérez de l'infrastructure Solana, surveillez les tentatives de brute-force SSH ciblant des noms d'utilisateur spécifiques aux cryptomonnaies.
3. Propagation de credentials de test¶
Gr1zzly!Pr0d_2026 — un mot de passe de test interne — est devenu le 3ème mot de passe le plus essayé avec 82 tentatives.
Ce mot de passe a été utilisé par l'outil d'audit automatisé pendant les tests. En quelques jours après la mise en ligne du honeypot, il est apparu dans les wordlists de brute-force utilisées par des scanners externes.
Cela démontre à quelle vitesse les credentials opérationnels se propagent dans l'outillage d'attaque.
Point clé défensif
Ne réutilisez jamais les credentials de test en production, même temporairement. La fuite de credentials dans les wordlists de brute-force est plus rapide que la plupart des équipes ne le supposent. Changez immédiatement après les tests.
4. L'efficacité des personas varie dramatiquement¶
| Persona | Commandes moy. | Durée moy. | Facteur d'engagement |
|---|---|---|---|
| fintech_trading | 1 349 | 94s | 2,4× la baseline |
| crypto_validator | 643 | 148s | 1,2× la baseline |
| corp_ad | 555 | 86s | 1,0× la baseline |
Le persona fintech génère 2,4 fois plus d'interaction que corp_ad. Les credentials AWS, les fichiers de configuration d'API de trading et les bases PostgreSQL créent une surface d'exploration beaucoup plus large.
Fait intéressant, crypto_validator a la durée moyenne la plus longue (148s) malgré moins de commandes — les attaquants passent plus de temps à lire les fichiers de keypairs et vérifier les soldes simulés.
Point clé défensif
Lors de la conception d'environnements de déception, les simulations du secteur financier attirent l'engagement le plus profond. Les credentials cloud (clés AWS) sont le leurre le plus efficace.