Retour à l'accueil

Publicité malveillante d'utilitaires informatiques : attaque SmokedHam et Qilin

Début 2026, des entreprises européennes sont attaquées via des publicités malveillantes pour des utilitaires informatiques. Les attaquants distribuent la porte dérobée SmokedHam et le rançongiciel Qilin. Les analystes lient la campagne au groupe UNC2465.

Comment les faux installateurs d'outils informatiques donnent aux pirates l'accès à votre réseau
Advertisement 728x90

Publicités malveillantes pour utilitaires IT : comment les pirates infiltrent les entreprises européennes via de faux installateurs

Début 2026, les organisations européennes ont fait face à une nouvelle vague de cyberattaques où les assaillants utilisent des publicités malveillantes dans les moteurs de recherche pour distribuer la porte dérobée SmokedHam déguisée en outils IT légitimes. Dans certains cas, l'attaque culmine avec le déploiement du rançongiciel Qilin. Les experts d'Orange Cyberdefense lient cette campagne au groupe UNC2465, déjà connu pour des attaques utilisant DarkSide, LockBit et Hunters International.

Mécanisme de l'attaque : des publicités au contrôle total

L'attaque commence par l'achat de publicités dans les moteurs de recherche qui promeuvent de fausses pages de téléchargement pour des utilitaires populaires d'administration système. Un utilisateur recherchant, par exemple, RVTools ou Remote Desktop Manager peut cliquer sur une publicité et télécharger un installateur malveillant. Une fois exécuté, la porte dérobée SmokedHam est chargée sur l'appareil, offrant aux attaquants un accès à distance.

Dans un incident examiné par Orange Cyberdefense, l'infection a conduit au déploiement du chiffreur Qilin. Les opérateurs ont utilisé des méthodes de dissimulation sophistiquées : ils ont employé deux solutions différentes de surveillance des employés, mélangé l'activité malveillante avec des outils administratifs légitimes (PuTTY, Kitty, Zoho Assist, Total Commander), et utilisé Cloudflare Workers et des points de terminaison AWS standards pour masquer le trafic.

Google AdInline article slot

SmokedHam : évolution d'une porte dérobée

Les analystes d'Orange Cyberdefense ont examiné plus de 30 échantillons de SmokedHam collectés en 2025-2026. Ils ont constaté que les opérateurs modifient constamment l'outil : les méthodes de livraison, les techniques de persistance et les vulnérabilités exploitées changent au fil du temps. Cela indique une activité élevée du groupe et un perfectionnement continu de leur arsenal. La porte dérobée peut charger des modules supplémentaires, offrant une flexibilité dans la conduite des attaques.

Qui se cache derrière les attaques : le groupe UNC2465

Avec une confiance modérée, Orange Cyberdefense lie la campagne à UNC2465. Ce groupe ou un affilié associé a déjà été impliqué dans des attaques utilisant des rançongiciels bien connus tels que DarkSide, LockBit et Hunters International. La conclusion repose sur des chevauchements de tactiques, techniques et infrastructures. Les attaquants ciblent activement les organisations européennes, comme en témoigne la répartition géographique des incidents de février à avril 2026.

Points clés

  • Les publicités malveillantes dans les moteurs de recherche sont un vecteur d'intrusion initial efficace dans les entreprises européennes.
  • La porte dérobée SmokedHam est distribuée déguisée en utilitaires IT légitimes (RVTools, Remote Desktop Manager, PuTTY).
  • Dans certaines attaques, SmokedHam est suivie du déploiement du chiffreur Qilin.
  • Les opérateurs utilisent plusieurs couches de dissimulation : outils administratifs légitimes, Cloudflare Workers, AWS.
  • Le groupe UNC2465, lié à des attaques de rançongiciels passées, est probablement derrière la campagne.

Contexte et implications

L'utilisation de malvertising pour distribuer des logiciels malveillants n'est pas une tactique nouvelle, mais son efficacité croît grâce à la capacité de cibler des groupes professionnels spécifiques. Les administrateurs système et les professionnels IT recherchant des outils de travail deviennent des cibles prioritaires. Puisque les attaques ciblent les organisations européennes, les entreprises doivent renforcer les contrôles de téléchargement, mettre en œuvre l'authentification multifacteur et former les employés à reconnaître les publicités suspectes.

Google AdInline article slot

Pour se protéger, il est recommandé d'utiliser des sources de téléchargement officielles, de vérifier les signatures numériques des installateurs et de limiter les privilèges administratifs. Il est également important de surveiller le trafic réseau pour détecter les connexions suspectes via Cloudflare Workers ou AWS.

— Editorial Team

Advertisement 728x90

Lire ensuite