Alerte de securite — Campagne ANTONKILL : Web Defacement ciblant les institutions sous Joomla! et Helix3
Le Centre de Reponse aux Incidents de Securite Informatique (CIRT.cm) publie une alerte concernant la campagne de cyberattaques de type Web Defacement menee par le groupe cybercriminel ANTONKILL.
Contexte
Les equipes de securite du CIRT ont mis a jour une campagne de cyberattaques de type Web Defacement menee par le groupe cybercriminel nomme ANTONKILL.
Cette campagne a recemment cible le site web du Ministere de l’Emploi et de la Formation Professionnelle (MINEFOP), compromettant son image et sa credibilite. Le groupe exploite des vulnerabilites specifiques dans le systeme de gestion de contenu (CMS) Joomla! et le framework Helix3 pour remplacer le contenu legitime par un message de revendication.
Il est imperatif que toutes les entites administratives et publiques utilisant ces technologies prennent des mesures immediates pour securiser leurs plateformes.
Analyse de la menace
Le groupe ANTONKILL est un collectif de pirates informatiques actif, probablement base en Afrique centrale/de l’Ouest, et connu pour une vaste campagne de defiguration de sites web en juillet 2026.
1. mode operatoire
Les utilisateurs malveillants ciblent des sites vulnerables, en se concentrant sur :
- L’exploitation de vulnerabilites dans des plugins ou themes obsoletes du CMS Joomla! et du framework Helix3.
- L’injection SQL pour obtenir des acces non autorises a la base de donnees du site.
- L’obtention d’acces administrateur via des techniques de force brute ou de phishing.
Une fois le controle obtenu, ils injectent un script JavaScript qui affiche une page d’accueil noire avec les caracteristiques suivantes :
Message : “Hacked by Antonkill” (ou variantes comme “trenggalek6etar”).
Visuel : Une animation pulsante de crane (Totenkopf) et des formes geometriques colorees.
Impact : Le contenu original du site est masque, mais generalement pas supprime.
2. Cibles Visees
La campagne ne se limite pas au Cameroun. Des cibles internationales ont ete identifiees, notamment l’Universite Nationale des Sciences et Technologies du Zimbabwe et les Services de Police du Botswana.
INDICATEURS DE COMPROMISSION (IOC)
Bien que des IOC techniques specifiques tels que adresses IP, hash de fichiers etc ne soient pas encore fourni, les indicateurs comportementaux et contextuels suivants doivent etre surveilles :
IOC Comportementaux :
- La detection de pages d’accueil avec un fond noir et un message de revendication (“Hacked by Antonkill”).
- L’activite suspecte ou les tentatives d’injection SQL dans les logs du serveur web.
- L’identification de scripts JavaScript inhabituels injectes dans la base de donnees ou les fichiers de modele (template) du site.
- Les alertes de force brute sur les interfaces d’administration (ex: /administrator pour Joomla!).
Comment se premunir ?
Face a cette menace, deux axes d’action prioritaires sont recommandes. Pour les entites potentiellement touchees, des mesures techniques immediates s’imposent :
- De mettre hors ligne tout site compromis pour stopper la diffusion du message malveillant.
- De lancer une investigation approfondie (scan de vulnerabilites, analyse des logs).
- De verifier l’integrite des fichiers (notamment les templates et index.php) et reinitialiser l’ensemble des mots de passe avec une politique renforcee.
Parallelement, des actions de securisation et de prevention concernent toutes les utilisateurs de Joomla! Notamment :
- La mise a jour vers la derniere version stable du CMS, de tous les plugins, extensions et themes (en particulier Helix3),
- La suppression des composants inutilises,
- Le renforcement des acces via l’authentification multi-facteurs et la limitation des tentatives de connexion
- L’activation et la configuration du pare-feu serveur (WAF), mise en place de sauvegardes regulieres
- La realisation d’un audit de securite complet.
En complement, des mesures de communication sont essentielles pour gerer la crise entre autres :
- La diffusion d’une alerte en interne aupres des services techniques et de communication et la lecture d’un communique officiel destine au public, afin d’informer de maniere transparente sur les faits, les actions entreprises et les consequences eventuelles.
Ces recommandations, classees par ordre de priorite, visent a endiguer l’attaque, a renforcer durablement la securite des plateformes et a maintenir la confiance des utilisateurs.
Conclusion
La campagne ANTONKILL represente une menace serieuse pour l’integrite des sites web institutionnels, en particulier ceux fonctionnant sous Joomla! et Helix3. La veille securitaire, l’application rigoureuse des correctifs de securite et la mise en place de mesures de detection proactive sont essentielles pour prevenir et contrer ce type d’attaque.
Annexe
Capture d’ecran du site web du MINEFOP
Telecharger l’alerte au format PDF (PDF)
Reference : CIRT-AL-2026-07-ANTONKILL
Classification : Publique
Contact : alerts@cirt.antic.cm | Numero vert: 8202
