Felons, Fraudsters Flog Offensive Cybersecurity Startup

1 minute de lecture

Mis à jour :

Les antécédents frauduleux derrière la startup « IRIS C2 »

Une nouvelle startup de cybersécurité offensive, IRIS C2, attire l’attention en promettant des rémunérations allant jusqu’à 7 millions de dollars pour l’achat de vulnérabilités “zero-day”. Bien que l’entreprise se présente comme un prestataire potentiel pour le secteur gouvernemental via la structure Calvexa Group LLC, une enquête révèle que ses dirigeants sont deux figures controversées : Jacob Wohl et Jack Burkman.

Points clés :

  • Historique des dirigeants : Wohl et Burkman sont des récidivistes notoires, condamnés pour fraude aux valeurs mobilières, fraude aux télécommunications et responsables de campagnes de désinformation massives (robocalls) à caractère politique.
  • Modèle d’affaires opaque : L’entreprise recrute des chercheurs en sécurité pour acquérir des exploits logiciels, tout en prétendant travailler sur des contrats fédéraux non vérifiés.
  • Stratégie de dissimulation : Le duo est habitué à utiliser des pseudonymes et des sociétés écrans (comme l’ancienne plateforme “LobbyMatic”) pour tromper ses employés et ses partenaires commerciaux.
  • Compétences techniques douteuses : Jacob Wohl, qui dirige les opérations, admet n’avoir aucune formation formelle en informatique, se présentant comme autodidacte.

Vulnérabilités :

  • L’article ne mentionne aucune CVE spécifique ou vulnérabilité technique concrète. Le risque identifié est principalement opérationnel et éthique : la nature douteuse des dirigeants laisse planer un risque élevé d’escroquerie pour les chercheurs en sécurité (vol de propriété intellectuelle ou impayés) et une menace de sécurité liée à la manipulation malveillante des exploits acquis.

Recommandations :

  • Vigilance accrue : Les chercheurs en cybersécurité et les entreprises doivent éviter de collaborer ou de divulguer des recherches sensibles à IRIS C2 ou toute entité affiliée à Calvexa Group LLC.
  • Vérification systématique : Avant tout partage d’informations techniques, il est impératif de vérifier l’identité réelle des interlocuteurs et la légitimité des entreprises, particulièrement pour les startups opérant dans le domaine très sensible de l’exploitation de failles (zero-day).
  • Diligence raisonnable : Pour les entités cherchant des partenaires en cybersécurité offensive, privilégier des entreprises reconnues et auditables, évitant celles dont la direction présente des antécédents criminels ou des pratiques de dissimulation.

Source