Security

Storm-2561: faux installateurs VPN via empoisonnement SEO

3 min de lecture

Résumé

Microsoft alerte sur une campagne de Storm-2561 qui piège les utilisateurs cherchant des clients VPN d’entreprise via l’empoisonnement SEO, de faux sites de téléchargement et des installateurs MSI trojanisés hébergés sur GitHub. Cette menace est particulièrement préoccupante car elle utilise des certificats de signature légitimes et un voleur d’identifiants Hyrax pour dérober les accès VPN et les configurations, augmentant fortement le risque de compromission initiale des organisations.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft Threat Intelligence a détaillé une nouvelle campagne de Storm-2561 qui devrait être sur le radar de chaque équipe de sécurité. En abusant du classement des moteurs de recherche, de faux sites web imitant des fournisseurs, et même de certificats de signature de code valides, les attaquants ciblent les utilisateurs à la recherche de logiciels VPN d’entreprise de confiance et volent leurs identifiants avant que de nombreuses organisations ne réalisent qu’un incident s’est produit.

Nouveautés

Storm-2561 distribue des installateurs VPN trojanisés via une chaîne d’attaque convaincante :

  • Les utilisateurs recherchent des logiciels VPN légitimes tels que les clients Pulse Secure ou Fortinet.
  • Des sites malveillants empoisonnés par SEO apparaissent dans les résultats de recherche et imitent des pages de téléchargement de fournisseurs de confiance.
  • Les victimes sont redirigées vers des fichiers ZIP hébergés sur des dépôts GitHub contrôlés par les attaquants.
  • Le ZIP contient un installateur MSI malveillant et des DLL qui imitent un véritable déploiement VPN.
  • L’installateur dépose Pulse.exe et charge latéralement des DLL malveillantes, notamment dwmapi.dll et inspector.dll.
  • inspector.dll est identifié comme une variante du voleur d’informations Hyrax, qui extrait les identifiants VPN et les données de configuration.

Microsoft a également indiqué que le malware était signé avec un certificat légitime de « Taiyuan Lihua Near Information Technology Co., Ltd. ». Ce certificat a depuis été révoqué, mais l’utilisation d’une signature valide a réduit la méfiance des utilisateurs et a pu aider à contourner certaines défenses.

Comportement de l’attaque à connaître

Le faux client VPN présente une interface de connexion réaliste afin de capturer directement les identifiants saisis par l’utilisateur. Après soumission :

  • Une fausse installation ou un faux échec de connexion est affiché
  • L’utilisateur est invité à télécharger le véritable client VPN
  • Dans certains cas, le navigateur s’ouvre sur le site légitime du fournisseur

Cette redirection après compromission est particulièrement efficace, car les utilisateurs peuvent ensuite installer le véritable logiciel avec succès et ne jamais soupçonner que leurs identifiants ont déjà été volés.

La campagne établit également une persistance via la clé de registre Windows RunOnce et exfiltre les données volées vers une infrastructure contrôlée par les attaquants.

Impact pour les administrateurs IT

Pour les équipes IT et de sécurité, cette campagne met en évidence un risque croissant : les utilisateurs n’ont plus besoin d’ouvrir des pièces jointes de phishing pour être compromis. Une simple recherche de logiciel professionnel peut conduire au vol d’identifiants.

Les organisations dépendantes de l’accès à distance doivent être particulièrement vigilantes, car des identifiants VPN volés peuvent permettre un accès non autorisé, des mouvements latéraux et des attaques ultérieures. L’utilisation d’une image de marque logicielle usurpée et de malware signé augmente également la probabilité que les utilisateurs finaux fassent confiance à l’installateur.

Actions recommandées

Les administrateurs doivent prendre les mesures suivantes :

  • Vérifier que la protection cloud-delivered de Microsoft Defender Antivirus est activée
  • Exécuter EDR en mode blocage lorsque cela est pris en charge
  • Rechercher les installateurs liés aux VPN suspects, le chargement latéral de DLL et la persistance via RunOnce
  • Examiner les connexions sortantes vers des indicateurs connus et des téléchargements suspects hébergés sur GitHub
  • Sensibiliser les utilisateurs à télécharger les logiciels VPN uniquement depuis des portails d’entreprise approuvés ou des sources vérifiées par le fournisseur
  • Réinitialiser les identifiants et examiner les appareils si des utilisateurs signalent des installations VPN échouées suivies d’une réinstallation réussie

Cela rappelle avec force que les résultats de recherche peuvent faire partie de la surface d’attaque et que les seuls signaux de confiance logicielle ne suffisent plus.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Threat Intelligence and Microsoft Defender Experts
SecurityMicrosoft Defendercredential theftSEO poisoningVPN malware

Articles connexes

Security

Compromission supply chain Trivy : guide Defender

Microsoft a publié des recommandations de détection, d’investigation et d’atténuation concernant la compromission de la supply chain Trivy de mars 2026, qui a affecté le binaire Trivy et des GitHub Actions associées. Cet incident est important, car il a détourné un outil de sécurité CI/CD de confiance pour voler des identifiants à partir de pipelines de build, d’environnements cloud et de systèmes de développeurs tout en semblant s’exécuter normalement.

Security

Gouvernance des agents IA : aligner l’intention

Microsoft présente un modèle de gouvernance pour les agents IA qui aligne l’intention de l’utilisateur, du développeur, du rôle et de l’organisation. Ce cadre aide les entreprises à garder des agents utiles, sécurisés et conformes en définissant des limites de comportement et un ordre de priorité clair en cas de conflit.

Security

Microsoft Defender : predictive shielding stoppe le ransomware GPO

Microsoft a détaillé un cas réel de ransomware dans lequel le predictive shielding de Defender a détecté un abus malveillant de Group Policy Object avant le début du chiffrement. En renforçant la propagation des GPO et en perturbant les comptes compromis, Defender a bloqué environ 97 % des tentatives de chiffrement et empêché tout appareil d’être chiffré via le chemin de diffusion GPO.

Security

Sécurité agentic AI : Microsoft renforce sa protection

Microsoft a présenté à la RSAC 2026 une stratégie complète pour sécuriser l’agentic AI en entreprise, avec le lancement en disponibilité générale d’Agent 365 le 1er mai et de nouveaux outils de visibilité comme Security Dashboard for AI. Ces annonces comptent car elles visent à aider les équipes IT et sécurité à mieux gouverner les agents AI, limiter les risques de surpartage de données et détecter plus tôt les menaces émergentes liées à l’IA.

Security

CTI-REALM open source : benchmark IA cybersécurité

Microsoft a dévoilé CTI-REALM, un benchmark open source qui évalue si des agents IA peuvent réellement produire des détections de sécurité de bout en bout à partir de rapports de cyber threat intelligence, plutôt que simplement répondre à des questions théoriques. C’est important pour les équipes SOC, car cet outil mesure des résultats opérationnels concrets — sur Linux, AKS et Azure — et aide à comparer la capacité réelle des modèles à soutenir l’ingénierie de détection.

Security

Zero Trust for AI de Microsoft : atelier et architecture

Microsoft a enrichi sa documentation Zero Trust avec une approche dédiée à l’IA, appliquant les principes « verify explicitly », « least privilege » et « assume breach » aux modèles, agents, prompts et sources de données. Cette évolution compte parce qu’elle fournit aux équipes IT et sécurité un cadre concret, renforcé par un nouveau pilier IA dans le Zero Trust Workshop, pour évaluer les risques propres à l’IA et déployer des contrôles adaptés à grande échelle.