Les résultats récents de Check Point Research ont mis sur la table une réalité inquiétante: un filet basé sur le proxy SystemBC avec plus de 1 570 machines actives a été identifié dans le cadre de l'enquête d'une attaque de l'opération Ransomware connue sous le nom de Gentlemen. Ce qui est remarquable, ce n'est pas seulement la taille du botnet, mais le profil des victimes : les organisations et les entreprises, pas les consommateurs isolés., qui suggère une campagne dirigée et ressources derrière.
Messieurs sont apparus au milieu de 2025 comme un service Ransomware (RaaS) qui offre des outils puissants pour différents environnements. Son "locker" écrit dans Go peut coder Windows, Linux, NAS et BSD ; il a également une variante C conçue pour les hyperviseurs ESXi. Ce n'est pas une menace théorique: le groupe a été impliqué dans des incidents à impact élevé, comme l'intrusion dans l'un des plus grands fournisseurs d'énergie de la Roumanie en décembre dernier, et récemment son nom est apparu sur la liste des victimes publiée après une violation signalée par Le groupe Adaptavist.
L'enquête de Check Point révèle que dans au moins un cas, une filiale Gentlemen a essayé d'utiliser SystemBC pour remettre des charges malveillantes cachées. SystemBC, un outil de proxy SOCKS5 existant depuis au moins 2019, est devenu une composante récurrente des flux d'intrusion actionnés par l'homme car il permet d'acheminer le trafic et de livrer les charges utiles sans dessiner la connexion directe à l'agresseur. Malgré les mesures d'application de la loi prises en 2024, l'infrastructure demeure active et, selon les rapports de renseignement précédents, elle est responsable d'un grand nombre de serveurs engagés utilisés comme relais.
Le point de contrôle a pu observer la télémétrie à partir du serveur de commande et de contrôle SystemBC qui visait plus de 1 570 victimes réparties dans le monde; la plupart, selon l'analyse, se trouvent aux États-Unis, au Royaume-Uni, en Allemagne, en Australie et en Roumanie. Les chercheurs n'ont pas été en mesure de déterminer avec certitude comment SystemBC s'intègre dans l'écosystème Gentlemen - qu'il ait été utilisé par une seule filiale ou plusieurs - mais les indicateurs indiquent une intégration plus profonde dans les chaînes d'exploitation qui combinent des outils de post-exploitation matures et des réseaux substituts.
Le schéma d'attaque décrit dans le rapport est typique des campagnes sophistiquées : accès à un contrôleur de domaine avec des privilèges de gestionnaire de domaine, reconnaissance interne et déploiement de charges comme Cobalt Strike via RPC. La mobilité latérale est soutenue par le vol d'identités par des outils tels que Mimikatz et l'exécution à distance. Pour le déploiement final du chiffre, les attaquants préparent généralement des logiciels malveillants sur un serveur interne et profitent de mécanismes natifs tels que Group Policies pour exécuter le Ransomware presque simultanément sur des ordinateurs attachés au domaine. Pour plus de détails techniques sur les outils susmentionnés, il convient d'examiner les puces MITRE ATT & CK sur Grève du cobalt et Mimikatz.
Dans la cryptographie, Gentlemen adopte une approche hybride : il combine X25519 (une variante de Diffie-Hellman) avec XChaCha20 pour le chiffrement des fichiers, générant quelques clés éphémères pour chaque fichier. Les fichiers de moins de 1 Mo sont généralement entièrement cryptés; les plus grands reçoivent un cryptage partiel par blocs (petits pourcentages de 9%, 3% ou 1%), une technique qui réduit le temps et les coûts d'exploitation mais rend la récupération difficile. Avant le chiffrement, les logiciels malveillants terminent les processus de base de données, les solutions de sauvegarde et les machines virtuelles, et suppriment les copies et les enregistrements d'ombres, tandis que la variante pour ESXi désactive les machines virtuelles pour assurer un accès exclusif au stockage.
Que Messieurs recrutent des affiliés et fassent la promotion de leur service dans des forums clandestins n'est pas une nouveauté dans l'image de la cybercriminalité, mais la combinaison d'un RaaS relativement jeune avec des infrastructures matures comme SystemBC et des cadres post-exploitation indique un bond en avant dans sa capacité opérationnelle. Les opérateurs sont passés d'essais ponctuels à l'assemblage d'outils en chaîne qui reflètent des modèles d'adversaires expérimentés, ce qui augmente le risque d'attaques réussies ayant de graves répercussions sur l'entreprise.
Pour les défenseurs et les équipes d'intervention, le rapport comprend des indicateurs d'engagement et une règle YARA fournie par Check Point pour la détection par signature, mais la protection nécessite plus que des signatures. Il est essentiel de renforcer les contrôles de base: segmentation du réseau, protection et surveillance des contrôleurs de domaine, limitation de l'utilisation des comptes avec des privilèges élevés, contrôles d'authentification multi-facteurs solides et sauvegarde vérifiée et isolée. Pour des conseils pratiques et des mesures d'atténuation du Ransomware, les lignes directrices publiées par CISA C'est un bon point de départ.
Ce cas met en évidence une leçon constante : les menaces évoluent vers des infrastructures hybrides et gérées par l'homme, ce qui exige que les organisations non seulement détectent et bloquent les signatures connues, mais qu'elles mettent en œuvre une visibilité continue, la détection de comportements anormaux et des plans d'intervention éprouvés. Les défenses qui ne reposent que sur des périmètres statiques et des signatures finiront par être insuffisantes devant des chaînes d'attaque bien orchestrées et composites.
Pour ceux qui veulent approfondir les détails techniques et l'IoC collecté, le rapport complet de Check Point Research est disponible sur leur page officielle: Rapport DFIR - Les Messieurs. Rester informé et mettre en œuvre des contrôles de base en cyberhygiène reste, aujourd'hui plus que jamais, le meilleur moyen de réduire les risques.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...