Un phénomène inquiétant est apparu ces derniers mois: les groupes de cybercriminalité profitent de la relation de confiance entre les entreprises et les fournisseurs de services extérieurs pour ouvrir des portes aux entreprises de grande valeur. Selon l'analyse des équipes de renseignement de la menace de Google, un acteur de piste comme UNC6783 a compromis les fournisseurs d'externalisation de processus d'affaires (BPO) pour ensuite vomir à leurs clients et extraire des informations sensibles qu'ils utilisent ensuite pour demander le sauvetage.
Ce qui rend cette tactique particulièrement dangereuse est sa simplicité apparente et son efficacité. Au lieu d'essayer de violer directement une grande entreprise, les attaquants concentrent leurs efforts sur des entreprises qui ont déjà un accès légitime aux données, outils ou systèmes internes. En attaquant le lien externe - le BPO - réduire la surface de l'attaque et augmenter la probabilité de succès en exploitant les relations de confiance et les canaux de soutien. Google et d'autres équipes d'intervention ont documenté des campagnes dans lesquelles des dizaines d'entités ont été touchées par cette méthode.
Les vecteurs utilisés par UNC6783 sont principalement l'ingénierie sociale : campagnes d'hameçonnage ciblées et attaques contre des agents de soutien du chat en direct. Dans ces incidents, les attaquants conduisent les employés du helpdesk à falsifier des pages de connexion qui imitent des services d'identité ou des panneaux de support, utilisant souvent des domaines conçus pour paraître légitimes. L'objectif n'est pas seulement de voler des identifiants, mais aussi d'éliminer les obstacles tels que l'authentification multifactorielle. Selon l'analyse partagée par Austin Larsen, un analyste de premier plan du groupe de renseignement de Google, certains kits d'hameçonnage déployés dans ces campagnes sont même capables de capturer du contenu de presse-papiers pour simuler d'autres facteurs de sécurité et des dispositifs d'enregistrement comme s'ils étaient fiables.
En plus de l'abus de chat en direct et de pages de connexion frauduleuses, des tentatives plus directes ont été observées: la distribution de mises à jour de sécurité présumées qui installent effectivement des logiciels malveillants d'accès à distance, ou le remplacement des employés pour obtenir des privilèges dans les systèmes critiques. Ces méthodes permettent aux attaquants de se déplacer latéralement, de collecter des données et enfin de préparer une opération d'extorsion. Dans de nombreux cas, les cybercriminels ont contacté les victimes par le biais de comptes de courrier cryptés et anonymes - par exemple, des services comme ProtonMail - pour demander des paiements en échange de ne pas publier les informations retirées.
Des chercheurs ont également souligné le lien possible entre la CNU6783 et une identité connue sous le nom de « Raccoon ». Des rapports et des publications en réseau ont attribué à cette personne ou à ce groupe des allégations de lacunes à l'encontre de grandes entreprises, demandant l'accès après avoir commis un BPO. Certaines de ces allégations n'ont pas encore été pleinement vérifiées par les entreprises concernées, mais elles illustrent un schéma récurrent: l'engagement de fournisseurs extérieurs suivi de fuites ou de demandes de paiement.
Compte tenu de ce scénario, les recommandations de défense combinent des mesures techniques et opérationnelles. Techniquement, l'adoption de mécanismes d'authentification vraiment résistants à l'hameçonnage, comme les clés de sécurité basées sur FIDO2, réduit considérablement la capacité de ces kits à falsifier l'accès. Google et les équipes d'intervention en cas d'incident soulignent également l'importance de surveiller et de protéger les canaux de soutien en direct, car ils sont des vecteurs qui permettent à un attaquant de manipuler les interactions humaines en temps réel. Une autre pratique essentielle est de bloquer les domaines qui imitent les modèles légitimes de fournisseurs de soutien - par exemple, les variations qui passent par les sous-domaines de la plate-forme de soins - et de vérifier régulièrement les dossiers des dispositifs enregistrés dans le MFA pour détecter les enregistrements frauduleux.
Ces recommandations ne sont pas théoriques: adopter des contrôles plus stricts et travailler de manière coordonnée avec les fournisseurs peut faire la différence entre un incident confiné et une filtration de masse. La sécurité ne peut plus se limiter aux frontières de l'environnement des entreprises; elle doit être étendue à la chaîne d'approvisionnement. avec contrats, évaluations techniques et simulations d'intervention, y compris BPO.
Pour une analyse plus approfondie et des observations publiques sur ces campagnes, les rapports et les communiqués des équipes de renseignement de Google constituent un point de départ pour comprendre les tactiques et les artefacts utilisés. Vous pouvez consulter le répertoire des publications de Google Threat Analysis Group pour des recherches et des recommandations : https: / / blog.google / menat-analyse-groupe /. Pour ce qui est du contexte journalistique et de la couverture des incidents attribués à ces acteurs et des demandes publiques de lacunes, des médias spécialisés comme BleepingComputer ont suivi l'évolution des cas : Calculateur - couverture pour la CNU6783. Des allégations ont également été rendues publiques sur les médias sociaux pour des comptes qui suivent le renseignement ouvert, comme ce poste X qui détaillait les allégations de « M. Raccoon » : https: / / x.com / IntCyberDigest / statut / 2039774692085526854, et déclarations techniques partagées par les analystes dans LinkedIn: publié par Austin Larsen. Pour les références aux mécanismes d'authentification résistants à l'hameçonnage, l'alliance FIDO maintient des ressources et des guides : https: / / fidoalliance.org /.
En bref, le cas de la CNU6783 rappelle que la sécurité est un écosystème partagé. La protection de l'organisation consiste aujourd'hui à travailler en étroite collaboration avec des partenaires qui traitent des données et des services essentiels, à combiner des contrôles techniques solides et une sensibilisation humaine, et à examiner en permanence les configurations d'accès.. Les entreprises qui commencent à intégrer ces pratiques seront mieux placées pour arrêter les campagnes d'extorsion avant qu'elles ne montent.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...