Dans une opération récente documentée par la société de cyberintelligence MalBeacon, le groupe Ransomware connu sous le nom de Velvet Temper (également tracé comme DEV-0504) a utilisé un mélange de tromperie sociale et d'outils légitimes Windows pour introduire et exécuter des charges malveillantes sur un réseau cible. L'intrusion a combiné une campagne antidumping avec une technique d'ingénierie sociale connue sous le nom de "ClickFix", l'abus des utilitaires natifs du système et des chargeurs de mémoire, qui a permis aux attaquants d'atteindre une porte arrière avancée sans avoir besoin d'un fichier disque exécutable traditionnel.
La technique ClickFix est basée sur la tromperie de l'utilisateur de coller dans l'exécution de Windows (Win + R) une commande claire qui semble inoffensive mais déclenche une chaîne de processus. Dans l'observation de MalBeacon, l'orge a commencé par des publicités malveillantes et un écran de type CAPTCHA qui a convaincu la victime d'exécuter l'action. Ce geste simple a activé les chaînes imbriquées de cmd.exe, qui à son tour ont invoqué les profits comme doigt. Exe pour récupérer les premiers "stagers". C'est un exemple clair de la façon dont les attaquants évitent les attachements malveillants directs et exploitent plutôt l'interaction humaine et les programmes légitimes du système. Vous trouverez plus de détails sur l'analyse dans la note de MalBeacon : MalBeacon.
Une fois à l'intérieur, les opérateurs ont effectué une activité manuelle (mains-à-main): reconnaissance de Active Directory, découverte d'hôtes et cartographie de l'environnement. Ils ont utilisé PowerShell pour télécharger des commandes supplémentaires et ont exécuté un script pour extraire des identifiants stockés par le navigateur Chrome, un comportement qui convient aux techniques de vol d'identifiants bien connues des navigateurs ( MITRE ATT & CK T1555.002). Une partie du malware initial a été distribué dans un fichier compressé déguisé en PDF, et dans les étapes ultérieures le groupe compilé. Composants NET dans des dossiers temporaires avec csc.exe et modules déployés dans Python pour établir la persistance dans C:\ ProgramData.
Dans la phase de développement, les attaquants ont utilisé DonutLoader pour exécuter le code en mémoire et enfin téléchargé CastleRAT, un cheval de Troie distant qui est souvent associé à un écosystème de chargeurs tels que CastleLoader et des familles d'info-voleurs. L'utilisation de chargeurs de mémoire tels que Donut vous permet d'exécuter . Le projet Donut, qui met en œuvre cette technique, est documenté publiquement dans GitHub: Donut (GitHub).
MalBeacon a enregistré cette campagne dans un environnement simulé qui a reproduit l'infrastructure d'une organisation américaine sans but lucratif avec plus de 3 000 paramètres et environ 2 500 utilisateurs, sur une période de 12 jours entre le 3 et le 16 février. Bien que Velvet Temper ait une longue histoire en tant que membre de campagnes de double extorsion et ait été lié à des déploiements de familles de Ransomware bien connues ces dernières années, dans cet exercice spécifique les opérateurs n'ont pas fait exploser le Ransomware Termite qui est parfois associé avec eux. Cette absence souligne que la phase d'intrusion peut être utilisée à la fois pour le vol d'informations et pour la préparation d'une exécution ultérieure : les attaquants peuvent moduler leur objectif en fonction de l'opportunité et de la réponse du défenseur.
Le comportement observé illustre deux tendances que nous voyons souvent dans les récentes attaques : d'une part, l'abus des utilitaires du système autochtone et des compilateurs locaux (ce que la communauté appelle « vivre hors de la terre »), et d'autre part, l'utilisation de tromperies sociales qui demandent à la victime d'effectuer des actions manuelles simples mais dangereuses. MITRE regroupe plusieurs de ces techniques sous des catégories telles que l'utilisation d'interprètes de commandement et l'abus de binaires légitimes : T1059 - Interprète de commandement et d'écriture et T1218 - Exécution par proxy binaire système.
En outre, la pratique de l'intégration . Les composants NET compilés temporairement et exécutant des charges en mémoire compliquent la détection par des signatures et obligent les équipes de sécurité à compter davantage sur la télémétrie comportementale et les signaux d'anomalies (par exemple, csc.exe qui crée des assemblages inhabituels dans des répertoires temporaires, des exécutions répétées de PowerShell avec ossification ou des processus qui téléchargent des charges utiles à partir de PI irréprochables). Les autorités et les organismes de sécurité publique recommandent de renforcer la défense par des mesures telles que la segmentation du réseau, des politiques de mise en oeuvre strictes, le suivi des processus critiques et des programmes de sensibilisation afin d'éviter des actions telles que frapper les commandes dans la table de course; les lignes directrices de la CISA sur les Ransomware et la défense fournissent des conseils pratiques : CISA - Lignes directrices sur les ransomwares.
Enfin, il n'est pas un cas isolé que des groupes de ransomware et de filiales adoptent le ClickFix truc: les rapports de l'industrie ont documenté d'autres bandes qui utilisent des variantes de cette ingénierie sociale pour entrer dans les réseaux d'entreprise. Sekoia a rapporté un exemple récent qui liait une campagne semblable à celle de la bande Interlock, qui montre comment des techniques apparemment simples peuvent éviter les contrôles si le facteur humain n'est pas préparé : Sekoia - Blog.
S'il y a une leçon claire est que la sécurité ne dépend plus seulement du blocage des fichiers malveillants: la combinaison de signaux humains, d'outils de système valides et de chargeurs de mémoire nécessite une stratégie de défense approfondie couvrant la technologie, les processus et la formation. Les organisations devraient prioriser la détection basée sur le comportement, protéger et auditer l'accès privilégié, et éduquer les utilisateurs à ne pas exécuter les commandes reçues de canaux non vérifiés. Pour les professionnels qui veulent synchroniser les détections, attention aux téléchargements provenant de directions de mise en scène suspectes, l'émergence d'inattendu. Les compilations NET et les persistances créées dans des endroits inhabituels tels que C:\ ProgramData sont généralement un bon point de départ.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...