Publicités malveillantes pour utilitaires IT : comment les pirates infiltrent les entreprises européennes via de faux installateurs
Début 2026, les organisations européennes ont fait face à une nouvelle vague de cyberattaques où les assaillants utilisent des publicités malveillantes dans les moteurs de recherche pour distribuer la porte dérobée SmokedHam déguisée en outils IT légitimes. Dans certains cas, l'attaque culmine avec le déploiement du rançongiciel Qilin. Les experts d'Orange Cyberdefense lient cette campagne au groupe UNC2465, déjà connu pour des attaques utilisant DarkSide, LockBit et Hunters International.
Mécanisme de l'attaque : des publicités au contrôle total
L'attaque commence par l'achat de publicités dans les moteurs de recherche qui promeuvent de fausses pages de téléchargement pour des utilitaires populaires d'administration système. Un utilisateur recherchant, par exemple, RVTools ou Remote Desktop Manager peut cliquer sur une publicité et télécharger un installateur malveillant. Une fois exécuté, la porte dérobée SmokedHam est chargée sur l'appareil, offrant aux attaquants un accès à distance.
Dans un incident examiné par Orange Cyberdefense, l'infection a conduit au déploiement du chiffreur Qilin. Les opérateurs ont utilisé des méthodes de dissimulation sophistiquées : ils ont employé deux solutions différentes de surveillance des employés, mélangé l'activité malveillante avec des outils administratifs légitimes (PuTTY, Kitty, Zoho Assist, Total Commander), et utilisé Cloudflare Workers et des points de terminaison AWS standards pour masquer le trafic.
SmokedHam : évolution d'une porte dérobée
Les analystes d'Orange Cyberdefense ont examiné plus de 30 échantillons de SmokedHam collectés en 2025-2026. Ils ont constaté que les opérateurs modifient constamment l'outil : les méthodes de livraison, les techniques de persistance et les vulnérabilités exploitées changent au fil du temps. Cela indique une activité élevée du groupe et un perfectionnement continu de leur arsenal. La porte dérobée peut charger des modules supplémentaires, offrant une flexibilité dans la conduite des attaques.
Qui se cache derrière les attaques : le groupe UNC2465
Avec une confiance modérée, Orange Cyberdefense lie la campagne à UNC2465. Ce groupe ou un affilié associé a déjà été impliqué dans des attaques utilisant des rançongiciels bien connus tels que DarkSide, LockBit et Hunters International. La conclusion repose sur des chevauchements de tactiques, techniques et infrastructures. Les attaquants ciblent activement les organisations européennes, comme en témoigne la répartition géographique des incidents de février à avril 2026.
Points clés
- Les publicités malveillantes dans les moteurs de recherche sont un vecteur d'intrusion initial efficace dans les entreprises européennes.
- La porte dérobée SmokedHam est distribuée déguisée en utilitaires IT légitimes (RVTools, Remote Desktop Manager, PuTTY).
- Dans certaines attaques, SmokedHam est suivie du déploiement du chiffreur Qilin.
- Les opérateurs utilisent plusieurs couches de dissimulation : outils administratifs légitimes, Cloudflare Workers, AWS.
- Le groupe UNC2465, lié à des attaques de rançongiciels passées, est probablement derrière la campagne.
Contexte et implications
L'utilisation de malvertising pour distribuer des logiciels malveillants n'est pas une tactique nouvelle, mais son efficacité croît grâce à la capacité de cibler des groupes professionnels spécifiques. Les administrateurs système et les professionnels IT recherchant des outils de travail deviennent des cibles prioritaires. Puisque les attaques ciblent les organisations européennes, les entreprises doivent renforcer les contrôles de téléchargement, mettre en œuvre l'authentification multifacteur et former les employés à reconnaître les publicités suspectes.
Pour se protéger, il est recommandé d'utiliser des sources de téléchargement officielles, de vérifier les signatures numériques des installateurs et de limiter les privilèges administratifs. Il est également important de surveiller le trafic réseau pour détecter les connexions suspectes via Cloudflare Workers ou AWS.
— Editorial Team
Aucun commentaire pour le moment.