Nightmare Eclipse banni de GitHub et de GitLab, et qui promet une attaque le 14 juillet

Le chercheur en sécurité à l'origine de six divulgations de zero-day Windows en six semaines a été retiré de GitHub et de GitLab à quelques jours d'intervalle et opère désormais exclusivement à partir d'un blog personnel. Le chercheur, qui se fait appeler Nightmare-Eclipse, Chaotic Eclipse et Dead Eclipse, a répondu par une menace explicite visant le 14 juillet, date du Patch Tuesday du mois prochain.

Microsoft a été accusé d'avoir signalé et effacé les dépôts GitHub aux alentours du 23 mai 2026. Le chercheur est passé à GitLab, mais GitLab a suspendu son compte les 26 et 27 mai pour avoir hébergé du code d'exploitation de jour zéro militarisé. Les deux principales plateformes d'hébergement de code étant désormais fermées, le chercheur publie directement sur son propre blog et a indiqué que cette interruption n'avait rien changé à ses projets.

Six jours zéro en six semaines

Depuis le début du mois d'avril 2026, Nightmare Eclipse a publié des preuves de concept pour six vulnérabilités Windows : BlueHammer, RedSun, UnDefend, YellowKeygreen Plasma, et MiniPlasma. Aucun n'a été divulgué par des canaux coordonnés avant la publication. Les six composants ciblés sont situés au niveau ou en dessous de la couche de sécurité du point final.

Microsoft a maintenant corrigé trois de ces six composants. BlueHammer s'est vu attribuer la CVE-2026-33825 et a été corrigé lors du Patch Tuesday du 14 avril. RedSun et UnDefend ont été corrigés hors bande le 21 mai en tant que CVE-2026-41091 et CVE-2026-45498 après que Huntress a confirmé l'exploitation active des trois dans des attaques réelles. La CISA a ajouté ces trois vulnérabilités à son catalogue de vulnérabilités connues et exploitées, les agences fédérales étant tenues de corriger CVE-2026-41091 et CVE-2026-45498 d'ici le 3 juin.

YellowKeygreenPlasma et MiniPlasma ne sont toujours pas corrigés à la date de publication. MiniPlasma cible le pilote Windows Cloud Filter et permet à un compte utilisateur standard d'accéder au niveau SYSTEM sur des systèmes Windows 11 entièrement corrigés et utilisant les dernières mises à jour du mois de mai 2026. BleepingComputer et plusieurs chercheurs indépendants ont confirmé que l'exploit fonctionne sans modification.

Que pourrait signifier le 14 juillet ?

Dans un message signé https://deadeclipse666.blogspot.com/le chercheur s'adresse directement à Microsoft : "Marquez cette date, le 14 juillet. Je m'assurerai que vos os seront brisés ce jour-là" Il a indiqué qu'aucune nouvelle divulgation n'était prévue pour le mois de juin, tout en se réservant le droit de changer de cap. Les messages précédents faisaient état d'une intention d'escalade vers des vulnérabilités d'exécution de code à distance si Microsoft continuait à rejeter leurs rapports.

Le fait d'être dé-platformé de GitHub et de GitLab supprime les canaux de distribution les plus faciles pour les binaires compilés et le code source, mais un blog personnel avec des téléchargements directs permet d'obtenir le même résultat pour tout chercheur désireux de le maintenir. Les analystes en sécurité de Barracuda Networks ont noté que la chaîne d'exploitation Nightmare Eclipse, qui combine l'escalade des privilèges via BlueHammer, RedSun ou MiniPlasma avec la suppression de Defender via UnDefend, a déjà été observée dans des intrusions confirmées sur le réseau. Il reste à voir si de nouveaux éléments feront surface le 14 juillet sous la forme d'une preuve de concept, d'une version d'exécution de code à distance ou d'autre chose. Ce chercheur a émis tous les avertissements préalables avant de procéder à une divulgation effective.