La semaine dernière, SmartTools a confirmé ce qui avait déjà commencé à suspecter plusieurs équipes de réponse : un serveur de messagerie non mis à jour a servi de passerelle pour l'équipe de ransomware connue sous le nom de Warlock ou Storm-2603. L'incident, que la compagnie a placé le 29 janvier 2026, a explosé une instance SmartMail qui n'avait pas reçu les correctifs les plus récents et a permis aux attaquants de se déplacer dans le réseau.
Selon les versions officielles de SmartTools lui-même, le vecteur initial n'était pas une chaîne sophistiquée d'exploits inconnus, mais l'existence d'une machine virtuelle oubliée par des processus de mise à jour internes. Cette seule équipe, composée d'un employé, a été laissée à l'écart du cycle des patchs et a fourni l'accès dont les exploitants du groupe avaient besoin pour mettre à l'échelle les privilèges et déployer des outils malveillants dans l'environnement. Vous pouvez lire l'explication de l'entreprise sur son portail communautaire Voilà..
La portée technique de l'attaque décrit une tactique déjà vue dans les campagnes récentes : les intrus n'agissent pas immédiatement au cryptage et à la revendication du sauvetage, mais restent assez silencieux pour assurer la persistance et préparer la scène. SmartTools indique que les attaquants ont attendu plusieurs jours avant de prendre le contrôle du serveur Active Directory, de créer des comptes et de déployer des charges utiles supplémentaires telles que Velociraptor et un composant de chiffrement. Cette période de latence explique pourquoi certains clients ont détecté une activité malveillante après l'application des correctifs : l'intrusion initiale s'était produite avant la mise à jour et seules les charges ont été activées ultérieurement.
Les conséquences n'étaient pas insignifiantes. La société a confirmé qu'une douzaine de serveurs Windows dans le réseau de bureau et un centre de données secondaire utilisé pour les tests de contrôle de qualité ont été affectés. En outre, l'opération a touché les clients hébergés en utilisant SmartTrack; SmartTools a noté que le problème n'était pas un bug dans SmartTrack en tant que produit, mais que ces plateformes hébergées étaient plus accessibles depuis le réseau compromis après l'accès initial. SmartTools détaille son évaluation et ses recommandations dans une autre note du portail communautaire disponible ici.
Du point de vue technique, il y a deux vulnérabilités dans SmartMail qui ont reçu l'attention pour leur exploitation active. On permet d'éviter l'authentification et de restaurer le mot de passe de l'administrateur en envoyant une requête HTTP manipulée ; l'autre attaque l'API ConnectToHub pour obtenir l'exécution à distance sans authentification. Les deux échecs offrent des chemins différents mais avec le même objectif : obtenir le contrôle du système. SmartTools corrige ces défauts dans une version ultérieure et recommande de les mettre à jour au plus tard, ce que vous pouvez voir dans vos notes de version Voilà..
Les rapports de renseignement qui ont suivi l'incident fournissent des détails pertinents sur la chaîne d'exploitation. ReliaQuest, par exemple, a décrit comment la campagne liée à Storm-2603 a abusé de la vulnérabilité de la restauration de mot de passe pour installer un installateur MSI malveillant logé à Supabase, qui a à son tour déployé Velocraptor pour maintenir l'accès et préparer le chiffrement. Vous pouvez lire votre analyse technique sur votre blog Voilà.. En outre, l'Agence américaine pour l'infrastructure et la cybersécurité. Les États-Unis (CISA) ont déjà noté l'exploitation active de l'une de ces vulnérabilités, ce qui souligne l'urgence de l'atténuation à l'échelle mondiale; son catalogue de vulnérabilités exploitées offre un contexte sur la façon dont ces échecs sont hiérarchisés par les risques et l'exploitation réelle ( Catalogue KEV - CISA).
Au-delà du nom de malware et de CVE, il y a une leçon opérationnelle très claire : les attaquants s'accordent leur méthodologie pour « mélanger » avec le trafic administratif légitime. Au lieu de s'appuyer uniquement sur l'exploitation d'alarmes bruyantes, la campagne lie une défaillance d'authentification à des fonctions logicielles légitimes, comme l'assemblage de volume, pour exécuter le code et rester inaperçue. Cette tactique réduit l'efficacité de nombreuses détections qui cherchent des modèles classiques d'URCE et nécessite des défenses plus holistiques, y compris la télémétrie de l'activité administrative et la détection des outils de persistance.
Si vous gérez SmartMail, la première mesure obligatoire est de mettre à jour la version recommandée par le fournisseur dès que possible. La mise à jour n'est pas un geste symbolique : elle ferme les vecteurs qui sont activement armés. Dans le même temps, il est essentiel de séparer les serveurs de courrier des autres actifs essentiels, de limiter l'exposition à Internet et d'appliquer des contrôles réseau qui empêchent les mouvements latéraux en cas d'engagement. La surveillance d'Active Directory et la recherche de dispositifs persistants - par exemple des services, des tâches programmées ou des tâches binaires inhabituelles telles que Velociraptor - sont des étapes qui doivent faire partie d'une réponse rapide.
Enfin, il n'est pas approprié de dormir sur les lauriers en rassurant les versions: bien que SmartTools ait indiqué que son web, la passerelle d'achat, le portail de compte et certains services n'étaient pas compromis, la réalité de l'incident montre comment un seul VM oublié peut affecter les systèmes connectés et les clients. La meilleure défense reste une combinaison d'hygiène (patches, segmentation, sauvegarde hors ligne), de contrôle franc des signaux d'intrusion et de plans de réponse pour contenir et éradiquer les acteurs qui ont déjà atteint l'accès. Pour ceux qui veulent approfondir la façon dont ces vulnérabilités sont exploitées et ce qu'il faut chercher dans des environnements compromis, ReliaQuest analyse et avis de fournisseurs et d'agences comme CISA sont recommandés lectures.
Si vous en avez besoin, je peux vous aider à traduire ces recommandations en une liste de contrôle pratique pour l'équipement technique ou développer une communication client qui explique les étapes à suivre après la mise à jour.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...