Un corridor d'accès initial (IAB) identifié comme KongTuke a changé son vecteur d'illusion pour Microsoft Teams, en réalisant dans certains cas une intrusion persistante dans les réseaux d'entreprise en moins de cinq minutes. Cet acteur convainc les employés, faisant semblant d'être du personnel de soutien interne, de coller et d'exécuter sur leurs machines une commande PowerShell qui télécharge à partir de Dropbox un paquet ZIP avec un environnement portable WinPython qui lance enfin le malware connu comme Modèle RAT.
La tactique implique plusieurs éléments qui rendent dangereux: l'utilisation de fédérations externes dans les équipes pour contacter les victimes, les noms d'expéditeurs qui semblent être internes par des astuces avec des espaces Unicode, et l'utilisation de services légitimes (par exemple Dropbox) pour héberger le binaire initial. Le résultat est un canal d'accès rapide et convaincant qui saute les contrôles humains et automatisés quand un travailleur de confiance exécute l'ordre demandé.
Techniquement, l'échantillon observé par ReliaQuest n'est pas un simple RAT: il intègre une architecture de commande et de contrôle plus résistante avec un pool de cinq serveurs, des routes URL aléatoires et une capacité d'auto-mise à jour; il maintient également de multiples voies d'accès (RAT primaire, shell inversé et TCP backdoor) dans des infrastructures distinctes, et utilise différents mécanismes de persistance, y compris les clés d'exécution, l'accès direct au démarrage, les lanceurs VBScript et les tâches programmées au niveau SYSTEM qui, selon les chercheurs, ne sont pas éliminés avec la routine de l'autodestruction de l'implant et peut survivre recommencer.
Le changement de KongTuke illustre deux tendances convergentes : la commercialisation de l'accès par les CCI pour le revendre aux opérateurs de Ransomware et l'instrumentation des plateformes collaboratives comme vecteur de livraison pour leur confiance implicite. Ces plates-formes offrent des moyens faciles de faire l'ingénierie sociale ciblée et de faire pivoter les locataires Microsoft 365 afin d'éviter les listes noires et les blocages traditionnels.
Pour les organisations, les implications sont claires: il ne suffit pas de croire que les contrôles périodiques ou la formation de base cesseront ces campagnes. Il est essentiel de combiner les politiques dans le locataire de Microsoft 365, les contrôles des paramètres et la télémétrie pour prévenir, détecter et contenir les tentatives qui naissent dans les flux de collaboration légitimes.
Dans la prévention immédiate, il est recommandé de mettre en œuvre Autorisés dans la fédération externe des équipes et limiter la messagerie directe avec des domaines non gérés; Microsoft documente comment gérer l'accès externe et la fédération dans Teams and Exchange à son centre de gestion en ligne, et cette configuration devrait être revue et durcie dans les organisations à haut risque: https: / / learn.microsoft.com / microsoft-365 / solutions / gestion-accès externe? vue = o365 dans le monde entier. En parallèle, des mesures de durcissement telles que l'application MFA stricte, les politiques d'accès conditionnel, et le contrôle d'exécution (AppLocker ou Windows Defender Application Control) aident une commande user-hit à ne pas traduire en exécution de code malveillant.
Dans la détection et la réponse, il est essentiel de rechercher des artefacts spécifiques : tâches programmées au niveau SYSTEM, entrées inhabituelles dans Run, accès direct aux dossiers de démarrage, lanceurs VBScript et la présence d'environnements ou de fichiers portables WinPython tels que Pmanager.py. ReliaQuest a publié des indicateurs d'engagement et une analyse détaillée qui devrait être intégrée aux règles de chasse à la menace et de SGI : https: / / reliaquest.com / blog / threat-spotlight-help-desk-lure-drop-kongtukes-evolved-modorlorat. Il est également recommandé d'intégrer des guides de réponse à l'exfiltration de Ransomware et de données par des autorités telles que la CISA pour les procédures de confinement et de récupération: https: / / www.cisa.gov / stopransomware.
Si une infection est détectée, isoler immédiatement l'équipement affecté du réseau, préserver la mémoire et l'immersion sur disque aux fins d'analyse médico-légale, et considérer que la présence de la tâche programmée au niveau du SYSTEM peut nécessiter un nettoyage manuel ou une reconstruction du système en cas de doute quant à l'élimination complète de la persistance. En outre, commencer un examen des pouvoirs et des sessions actives : Les CCI cherchent à favoriser et à vendre l'accès, de sorte que les comptes et les séances risquent fort d'être compromis.
Enfin, la réponse organisationnelle devrait inclure une mise à jour dans la formation du personnel : au-delà de « ne pas cliquer », expliquez pourquoi coller des commandes et exécuter des binaires à partir de chats externes est dangereux et quels signes donnent des imposteurs dans les équipes (noms avec des espaces Unicode, domaines non-affaires, demandes urgentes et instructions techniques hors procédure). La combinaison de politiques de locataires rigoureuses, de contrôles proactifs des paramètres et d'une réponse bien testée réduit considérablement le champ d'action des acteurs comme KongTuke.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...