Ces derniers mois, les équipes d'intervention et d'analyse des menaces ont allumé des feux d'alarme dans le cadre d'une campagne soutenue qui, au moins depuis décembre 2025, cible principalement les établissements d'enseignement et de santé aux États-Unis. Cisco Les chercheurs de Talos ont groupé cette activité sous l'étiquette TU-10027 et ont identifié un nouvel implant, baptisé comme Dohdoor qui introduit des techniques modernes pour rester invisibles et se déplacer librement dans les réseaux engagés.
Le vecteur initial n'a pas encore été entièrement confirmé, mais le modèle décrit par Talos indique des scénarios d'ingénierie sociale typiques: un courriel malveillant ou un document qui conduit à l'exécution d'un script PowerShell. Ce script agit comme une porte d'entrée, puis en descendant et en exécutant un fichier batch d'un serveur de préparation qui, à son tour, télécharger une bibliothèque Windows dynamique (DLL) avec des noms qui cherchent à passer inaperçus, comme "propsys.dll" ou "batmeter.dll".
La DLL malveillante - Dohdoor elle-même - n'arrive pas seul: il profite des processus du système légitime à charger. En particulier, il utilise la technique dite Laminage latéral DLL, qui consiste à profiter de exécutables Windows légitimes (Fondue.exe, mblctr.exe, ScreenClipingHost.exe, entre autres) pour forcer le chargement de DLL malveillant dans le contexte d'un processus fiable. Vous pouvez voir la description technique de cette tactique dans la base de connaissances MITRE ATT & CK: Chargement latéral DLL (T1574.001).
Une fois la porte arrière établie, Dohdoor utilise DNS-over-HTTPS (DoH) en tant que canal de commande et de contrôle (C2), ce qui complique grandement la détection par des moyens traditionnels. En encapsulant les consultations DNS au sein du trafic HTTPS vers l'infrastructure publique, le trafic malveillant est mélangé avec des communications légitimes et apparaît comme des connexions chiffrées aux services de confiance. Cisco Talos souligne également que les opérateurs cachent leurs serveurs C2 derrière la plate-forme Cloudflare, de sorte que les machines engagées contactent des adresses IP de confiance mondiale, ce qui réduit la piste qu'ils laissent dans les systèmes de surveillance réseau.
L'utilisation du DoH n'est pas intrinsèquement malveillante, mais son abus pose un défi pour les défenseurs : les mécanismes traditionnels qui analysent les noms de domaine ou redirigent les consultations vers des "puits" sont largement inutiles devant un tunnel DNS chiffré par HTTPS. Si vous voulez comprendre comment ces résolutions DNS sur HTTPS fonctionnent réellement d'un point de vue technique, la documentation Cloudflare est un bon point de départ : DNS-over-HTTPS - Cloudflare.
Une autre couche de furtivité dans Dohdoor est sa capacité à échapper aux solutions de fin de carrière. Les chercheurs ont observé que les logiciels malveillants effectuent des techniques pour annuler les hooks utilisateurs sur ntdll.dll et ainsi éviter les détections que de nombreux EDR implémentent lors de la surveillance des appels d'API Windows. Cette approche de « décrochage » ou d'éviter les crochets a été documentée par les équipes de sécurité : explication technique du MDSEC.
En outre, Dohdoor n'est pas heureux de rester comme une simple porte de derrière: son but opérationnel est de récupérer et de courir les charges plus tard directement en mémoire. Dans les incidents analysés par Talos, la charge déchargée et exécutée en mémoire était une installation de Cobalt Strike Beacon, un outil de post-exploitation que les attaquants utilisent pour le mouvement latéral, l'exfiltration et la persistance dans des environnements compromis.
Quant à la paternité, Talos souligne les similitudes tactiques entre l'ensemble d'outils utilisés par UAT-10027 et les familles de malwares associés dans le passé à des groupes nord-coréens, comme Lazarloader, mais n'attribue pas définitivement la campagne à un acteur particulier. La décision de maintenir la prudence dans l'attribution est importante: bien qu'il y ait des coïncidences techniques, le choix des victimes - éducation et santé - et d'autres indicateurs opérationnels ne correspondent pas pleinement au profil public de certains groupes. Il est vrai, cependant, que les acteurs nord-coréens ont par le passé attaqué des objectifs de santé et d'éducation avec d'autres outils, ajoutant le contexte à la comparaison; par exemple, sur l'intérêt de certains APT nord-coréens dans les hôpitaux et les universités, vous pouvez consulter l'analyse sur Kimsuky ou des campagnes avec Maui ransomware: Global Cyber Alliance - Kimsuky et le secteur de l'éducation et des ressources sur la menace pour les hôpitaux.
Que devraient faire les équipes de sécurité à propos d'une telle menace ? Il n'y a pas une seule balle d'argent, mais plusieurs pratiques aident à réduire la surface de risque et à améliorer la détection. Premièrement, renforcer la formation et les défenses contre l'hameçonnage parce que la chaîne d'attaque décrite commence, très probablement, avec la tromperie dirigée sur les utilisateurs. Deuxièmement, surveiller et analyser les TLS sortants et la résolution de noms avec des outils qui peuvent inspecter le DoH ou forcer l'utilisation de résolutions DNS d'entreprise contrôlées; la visibilité des connexions cryptées est la clé. Troisièmement, examiner les politiques permettant d'empêcher l'exécution arbitraire des binaires et de limiter les privilèges des comptes et des services que les DL peuvent offrir. Enfin, les solutions EDR devraient être mises à jour et complétées par des contrôles qui cherchent des anomalies dans le comportement de la mémoire, pas seulement des signatures statiques.
Les organisations publiques et privées actives dans le domaine de l'éducation et de la santé devraient prendre cette campagne comme un rappel clair que la sophistication des agresseurs continue de croître : elles combinent des techniques d'évasion de réseaux, l'abus d'infrastructures tierces et des méthodes d'exécution en mémoire pour rester cachées le plus longtemps possible. Cisco Talos fournit plus de détails techniques sur les indicateurs de recherche et d'engagement qu'une équipe d'intervention en cas d'incident peut utiliser : Rapport technique de Talos sur Dohdoor.
Dans un monde où les attaquants exploitent à la fois les nouvelles capacités de protocole et les services légitimes pour masquer leur trafic, la clé pour les organisations est d'accroître la visibilité, de renforcer les contrôles et de combiner la formation humaine avec des solutions techniques capables de détecter des anomalies de niveau supérieur - pas seulement dans les consultations DNS ou les signatures connues. La menace existe maintenant; agir avant le prochain incident affecte les patients ou les étudiants est une responsabilité partagée entre les administrateurs, les fournisseurs de sécurité et les décideurs institutionnels.
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...
Clé jaune L'échec BitLocker qui pourrait permettre à un attaquant de déverrouiller votre unité avec seulement un accès physique
Microsoft a publié une atténuation pour une vulnérabilité d'omission de sécurité BitLocker Clé jaune (CVE-2026-45585) après que son test de concept ait été divulgué publiquement...