Netcrook Logo
👤 NEURALSHIELD
🗓️ 30 Nov 2025   🌍 South America

Fantômes dans le Cloud : le service OAST secret alimentant une vague mondiale d’exploits

Des chercheurs révèlent un attaquant de l’ombre utilisant Google Cloud pour orchestrer une campagne de piratage à grande échelle, ciblant plus de 200 failles logicielles et se concentrant sur les réseaux brésiliens.

En Bref

  • Un service OAST privé (Out-of-band Application Security Testing) fonctionne sur Google Cloud, échappant aux détections classiques.
  • Plus de 200 vulnérabilités connues (CVE) visées lors de plus de 1 400 attaques distinctes.
  • Les attaquants ciblent les réseaux brésiliens, utilisant des outils personnalisés et des exploits modifiés.
  • Le trafic malveillant se fond dans la masse en exploitant l’infrastructure cloud de confiance.
  • Indicateurs clés : connexions à detectors-testing.com et à plusieurs adresses IP de Google Cloud.

L’infrastructure fantôme cachée à la vue de tous

Imaginez un voleur qui se faufile dans les rues les plus fréquentées d’une ville, se dissimulant parmi la foule pour éviter les soupçons. C’est exactement ce qu’ont découvert les chercheurs en cybersécurité de VulnCheck : un attaquant mystérieux exploitant un service OAST privé, non pas sur le dark web, mais sur le terrain familier de Google Cloud. En mêlant ses activités malveillantes au trafic internet quotidien, cet adversaire a réussi à passer inaperçu tout en lançant une campagne acharnée contre plus de 200 vulnérabilités logicielles.

Déroulement de l’attaque

Au cœur de cette opération se trouve un domaine peu connu - detectors-testing.com - servant de centre de commandement à l’attaquant. Contrairement à la plupart des hackers qui louent des outils partagés, ce groupe a bâti sa propre infrastructure, utilisant des modèles de scan et des charges personnalisés. Ils ont même ressuscité d’anciens scanners de vulnérabilités, les adaptant à leurs besoins. Résultat : plus de 1 400 attaques de reconnaissance, chacune conçue pour déclencher un rappel depuis les systèmes compromis vers le domaine contrôlé par l’attaquant, confirmant ainsi la réussite de l’intrusion.

Un exploit notable a visé la CVE-2025-4428, une faille critique dans le logiciel de gestion mobile d’Ivanti. Les attaquants n’ont pas simplement utilisé du code prêt à l’emploi - ils l’ont amélioré, ajoutant de nouvelles capacités pour exécuter des commandes et faire remonter discrètement les résultats. Une telle agilité technique suggère une opération bien financée et hautement qualifiée.

Pourquoi le Brésil ? Et pourquoi le Cloud ?

Bien que les capteurs de VulnCheck couvrent le monde entier, les attaquants ont concentré leurs efforts sur les réseaux brésiliens, lançant leur campagne entre octobre et novembre 2025. Les raisons restent floues, mais l’économie numérique en pleine croissance du Brésil et ses défenses cyber fragmentées pourraient en faire une cible attrayante. En opérant via des serveurs Google Cloud basés aux États-Unis, les attaquants bénéficient d’un vernis de légitimité - la plupart des organisations hésitent à bloquer le trafic provenant de fournisseurs cloud de confiance, offrant ainsi aux cybercriminels un accès sans entrave.

Cette technique n’est pas entièrement nouvelle. Des campagnes précédentes, comme celles du groupe APT « Cloud Atlas », ont également détourné des plateformes cloud pour masquer leurs activités. Mais l’ampleur et la précision de cette nouvelle vague d’exploits - plus de 200 CVE et un service OAST sur mesure - marquent une évolution inquiétante des tactiques cybercriminelles.

Pouvons-nous suivre le rythme ?

La frontière entre trafic cloud légitime et malveillant devient de plus en plus floue. Les équipes de sécurité sont invitées à surveiller les signes révélateurs - connexions à detectors-testing.com, rappels inhabituels ou trafic provenant d’adresses IP Google Cloud suspectes. Mais alors que les attaquants innovent plus vite que les défenseurs ne peuvent corriger, la ville numérique reste un lieu dangereux pour les imprudents. Dans ce jeu du chat et de la souris à haut risque, la vigilance et la réactivité sont les seuls véritables boucliers.

La prochaine grande menace cyber pourrait déjà se cacher dans votre trafic cloud de confiance. À mesure que les attaquants se fondent dans le décor, seuls ceux qui observent attentivement pourront repérer les fantômes qui circulent dans les fils.

WIKICROOK

  • OAST (Out : OAST détecte les vulnérabilités des applications web en observant comment les systèmes réagissent et communiquent via des canaux hors du trafic web normal, comme DNS ou email.
  • CVE (Common Vulnerabilities and Exposures) : Les CVE sont des codes uniques qui identifient et décrivent les vulnérabilités de sécurité connues dans les logiciels ou matériels, aidant à suivre et à traiter les menaces cyber.
  • Infrastructure Google Cloud : L’infrastructure Google Cloud est le système mondial de serveurs et de services de Google, fournissant un cloud sécurisé et évolutif pour les entreprises et, parfois, pour les cyberattaquants.
  • Systèmes Canary : Les systèmes canary sont des capteurs de sécurité leurres qui imitent de vrais actifs pour détecter et alerter sur des activités suspectes, offrant une alerte précoce face aux menaces cyber.
  • Payload : Un payload est la partie nuisible d’une cyberattaque, comme un virus ou un spyware, délivrée via des emails ou fichiers malveillants lorsqu’une victime interagit avec eux.
OAST service Google Cloud Brazilian networks
NEURALSHIELD NEURALSHIELD
AI System Protection Engineer
← Back to news