Il y a quelques mois à peine, un nouvel acteur nommé LeakNet est apparu sur la scène du crime informatique, et son évolution technique nécessite déjà une attention particulière : il a commencé à combiner une tactique d'ingénierie sociale très efficace avec une approche moderne de « vivre hors de la terre » qui profite de logiciels légitimes pour exécuter du code malveillant en mémoire. Le résultat est un vecteur d'entrée difficile à détecter avec peu d'impressions de disque, exactement ce que les groupes Ransomware recherchent qui veulent maximiser l'impact et minimiser la traçabilité.
La porte d'entrée LeakNet utilise ClickFix, une tromperie orientée utilisateur qui induit l'exécution de commandes ou de fichiers au moyen de fausses fenêtres ou des avis qui semblent résoudre un problème technique. Une fois cette première étape réalisée, les attaquants ne lancent pas leur propre chargeur avec une signature douteuse: ils installent et utilisent le Deno runtime légitime - l'environnement moderne pour JavaScript et TypeScript - pour décoder et exécuter la charge malveillante directement dans la mémoire du système. Cette stratégie, décrite par les chercheurs de ReliaQuest, est un exemple clair de ce qu'ils appellent une campagne de « faire fonctionner » (BYOR), où un interprète légitime est amené à exécuter un code hostile sans attirer l'attention sur les listes de verrouillage ou les filtres qui cherchent des binaires suspects. Plus d'informations sur l'analyse technique sont disponibles dans le rapport ReliaQuest: ReliaQuest : menace ClickFix, Deno et LeakNet.
Pourquoi utiliser Deno ? Parce que c'est un exécutable signé et largement reconnu dans les environnements de développement, ce qui rend la détection difficile quand elle apparaît sur une machine qui n'est pas beaucoup moins prête à l'identifier comme malveillant. En utilisant Deno, les opérateurs LeakNet peuvent exécuter JavaScript / TypeScript malveillant qui fait une empreinte digitale de la machine, génère un identifiant de victime unique et contacte un serveur de commande et de contrôle pour télécharger les étapes ultérieures. Le code mémoire maintient une connexion de sondage pour recevoir des commandes, ce qui facilite la maintenance persistante sans laisser d'objets évidents sur le disque.
Dans la phase post-opération, LeakNet utilise des techniques conventionnelles mais efficaces: chargement de DLL en utilisant le chargement latéral (par exemple, en profitant de jli.dll via Java sur des routes telles que C:\\ ProgramData\\ USOShared), reconnaissance des références avec des outils système commeklist, mouvement latéral utilisant PsExec et exfiltration et stockage de données qui abusent des services cloud comme Amazon S3. Microsoft maintient la documentation officielle sur les utilitaires et les commandes utilisés dans ces processus; par exemple, l'outil Sysinternals PSExec peut être consulté à la page PsExec, la gestion des billets Kerberos parklistest documenté en Référence Microsoft, et les principes de recherche et de chargement de DLL sont décrits dans la documentation de Windows. Du côté nuageux, Amazon S3 est souvent utilisé par les attaquants pour stocker et distribuer des charges; le guide officiel S3 est en Documentation Amazon S3.
Qu'est-ce qui inquiète cette chaîne d'attaque ? Principalement deux choses: la combinaison de l'ingénierie sociale avec l'exécution de mémoire et l'utilisation d'outils légitimes. L'exécution de mémoire réduit la criminalistique sur disque et rend de nombreuses solutions basées sur la signature non pas alertes d'incendie. L'utilisation d'un temps d'exécution officiel comme Deno signifie que les contrôles de blocage binaires "non approuvés" peuvent être moqués. En outre, lorsque l'attaquant compte sur des utilitaires système pour déplacer latéralement ou lister les identifiants, l'activité peut être camouflée entre des tâches administratives légitimes.
Les chercheurs qui ont suivi LeakNet indiquent que, pour l'instant, le groupe a une activité relativement confinée depuis la fin de 2024, avec une moyenne d'environ quelques victimes par mois, bien que l'adoption de ces nouvelles méthodes pourrait accélérer sa croissance. La répétition de la chaîne d'attaque, cependant, joue en faveur des défenseurs: des modèles cohérents laissent des points spécifiques où surveiller et détecter les anomalies.
Signaux d'avertissement à surveiller inclure l'exécution de Deno dans les équipes où les tâches de développement ne sont pas exécutées, l'invocation étrangère impliquant l'exécution de navigateur et de commande (qui est parfois détectée commemauvaise exécutionou des exécutions inhabituelles des processus de navigation), l'utilisation anormale de PsExec, le trafic sortant inattendu vers les seaux S3 et la présence de DLL chargés de lieux atypiques comme ProgramData. Ces pistes sont des indices utiles pour la détection et la réponse précoces.
D'un point de vue pratique, les pratiques d'atténuation ne sont pas nouvelles, mais elles doivent être appliquées avec discipline : limiter et surveiller l'utilisation des outils administratifs, limiter l'exécution des binaires à l'inventaire approuvé, appliquer des listes d'applications autorisées lorsque c'est possible et analyser les connexions sortantes aux services cloud depuis les postes de travail. Il est également essentiel d'éduquer les employés à ne pas exécuter de raccourcis ou de commandes présentés par des fenêtres émergentes suspectes, parce que ClickFix se nourrit précisément de la réaction « rapide » de l'utilisateur.
La communauté de la sécurité publie aujourd'hui des guides et des outils pour détecter et atténuer ces attaques. Examiner les indicateurs et les modèles signalés par les chercheurs, maintenir la télémétrie des processus et des réseaux et mettre en place des alertes sur les comportements anormaux (par exemple, les environnements de développement extérieurs de Deno ou le trafic inhabituel vers S3) sont des étapes concrètes qui peuvent faire une différence. Pour ceux qui veulent approfondir l'analyse originale de la chaîne d'attaque, le rapport ReliaQuest offre un bon point de départ : compte technique de ReliaQuest, et pour comprendre le temps d'exécution que les attaquants utilisent, la page officielle de Deno explique comment l'environnement fonctionne: Deno - site officiel.
Bref, LeakNet n'a rien inventé de radicalement nouveau, mais il a assemblé efficacement les tactiques actuelles : abus d'un temps d'exécution légitime pour l'exécution de mémoire, ingénierie sociale dirigée et mouvements post-exploitation basés sur les utilitaires du système lui-même et services cloud. Cette combinaison exige que les équipes de sécurité non seulement bloquent les signatures, mais observent également le comportement et le contexte, et que les organisations maintiennent des mesures de base d'hygiène numérique et de formation continue du personnel. La menace est gérable si ces points sont traités en priorité.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...