Profil de menace
Activité suspecte — risque 36/100 (Faible) — MITRE TA0011 — confiance 10 % — via CLOUDFLARE TUNNEL — campagne /24 (154.16.44.0/24)
Période analysée : 2026-06-18 → 2026-07-18
Activité suspecte — risque 36/100 (Faible) — MITRE TA0011 — confiance 10 % — via CLOUDFLARE TUNNEL — campagne /24 (154.16.44.0/24)
Campagne de scan — plusieurs IP du même /24 (154.16.44.0/24, ≥3 pairs)
Activité suspecte — risque 36/100 (Faible) — MITRE TA0011 — confiance 10 % — via CLOUDFLARE TUNNEL — campagne /24 (154.16.44.0/24)
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Type « mozi_pattern » (signaux protocolaires) · confiance 0%
Confiance 10 % — Score WAF 8 · Bonus corrélation +10
ASN 25369 · 154.16.44.0/24 · AFRINIC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 17 événements sur la période pour cette IP.
Même FAI Hydra Communications Ltd — corrélation indicative.
Cette IP touche plusieurs services simulés (pas seulement le web).
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
17 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
17 événement(s) — page 1/1
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 2053 · CLOUDFLARE TUNNEL | cloudflare-tunnel | Botnet Mozi mozi pattern · via CLOUDFLARE TUNNEL:2053 · (commande & contrôle) | Élevée | Faible · 36 |
|
|
|
Étape
Commande & contrôle
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0011
TA0011
Protocole
Émulateur
CLOUDFLARE-TUNNEL
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
2053
Chemin / cible
—
Service
CLOUDFLARE TUNNEL
Payload
GET / HTTP/1.1 Host: 62.3.50.33:2053 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */*
Pourquoi cette classification : Type « mozi_pattern » (signaux protocolaires) · confiance 0%
Confiance classification
10%
Corrélation +10
Risque capteur
Faible
· 36
Confiance : Confiance 0 % — 5 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0011
Tactiques MITRE
TA0011
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:2053 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */*
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:2053 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 70 · GOPHER | gopher | gopher gopher · via GOPHER:70 · (sonde / probe) | Élevée | Faible · 35 |
|
|
|
Étape
Sonde / probe
Chaîne
Reconnaissance
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
GOPHER
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
70
Chemin / cible
—
Service
GOPHER
Payload
� �-�o\��(WQK���^�3 �&猥l��I� �ӥ"�� ��[��X�15��j�����{�� F�+�/̨̩�,�0� � �� � � / 5�'�#̪ � � g k 3
Pourquoi cette classification : Type « gopher » (signaux protocolaires) · confiance 50%
Confiance classification
60%
Corrélation +10
Risque capteur
Faible
· 35
Confiance : Confiance 50 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
pat-0771
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
Payload (extrait)
� �-�o\��(WQK���^�3�&猥l��I� �ӥ"�� ��[��X�15��j�����{�� F�+�/̨̩�,�0�
� �� � � / 5�'�#̪ � � g k 3
Requête brute (extrait)
� �-�o\��(WQK���^�3 �&猥l��I� �ӥ"�� ��[��X�15��j�����{�� F�+�/̨̩�,�0� � �� � � / 5�'�#̪ � � g k 3 9 <� ���� � # http/1.1 " | |||||||