Netcrook Logo
👤 CRYSTALPROXY
🗓️ 07 Apr 2026   🌍 North America

Phishing sous couverture : comment les hackers détournent les outils IT de confiance pour des intrusions furtives en entreprise

Les attaquants transforment des logiciels d’assistance à distance légitimes en portes dérobées persistantes - et des centaines d’organisations en sont déjà victimes.

Cela arrive sous la forme d’un e-mail anodin - une invitation à un événement provenant d’une adresse familière, ou peut-être un appel d’offres alléchant. Mais derrière cette façade amicale se cache une nouvelle génération de cybercriminels : ceux qui ne se contentent pas de vous piéger avec des malwares, mais gagnent votre confiance pour entrer par la grande porte. De récentes enquêtes révèlent que les hackers détournent de plus en plus des outils d’assistance IT légitimes comme LogMeIn Resolve et ScreenConnect, s’infiltrant profondément dans les réseaux d’entreprise et préparant discrètement le terrain pour des violations dévastatrices.

Le nouveau visage du phishing : la confiance comme arme

Oubliez les pièces jointes de ransomware grossières et les liens frauduleux évidents. Les cybercriminels d’aujourd’hui exploitent les outils mêmes conçus pour aider les entreprises à rester sécurisées et connectées. Selon un récent rapport sur les menaces, une campagne baptisée STAC6405 a tiré parti de la popularité et de la légitimité de LogMeIn Resolve et ScreenConnect - deux plateformes d’administration à distance - pour infiltrer plus de 80 organisations dans divers secteurs.

L’attaque commence par un e-mail convaincant, souvent conçu pour ressembler à une invitation à un événement via Punchbowl ou à une opportunité de soumission à un appel d’offres. Envoyés via des comptes tiers compromis, ces messages éveillent peu de soupçons. Un simple clic, et la victime installe sans le savoir un outil RMM - un logiciel normalement utilisé par les services IT pour le dépannage à distance. Mais cette fois, c’est l’attaquant qui prend les commandes.

De l’accès à l’espionnage

Une fois le logiciel RMM discrètement installé, les hackers obtiennent un accès persistant et non surveillé au système compromis. Dans de nombreux cas, l’attaque s’arrête là, les cybercriminels agissant comme des « brokers d’accès initial » - détenant les clés du réseau et revendant cet accès sur les places de marché du dark web.

Mais pour certaines victimes, le cauchemar s’aggrave. Grâce à ScreenConnect nouvellement installé ou déjà présent, les attaquants téléchargent des charges malveillantes supplémentaires. Exemple notable : un fichier ZIP contenant HeartCrypt, un outil d’évasion sophistiqué. Caché dans un fichier de jeu vidéo apparemment inoffensif, ce module malveillant reste inactif plusieurs minutes pour contourner les contrôles de sécurité automatisés avant de voler des informations sensibles et de communiquer avec des serveurs de commande externes.

Pourquoi ça marche - et pourquoi c’est dangereux

En détournant des outils IT de confiance, les attaquants contournent de nombreuses défenses sur lesquelles les organisations comptent. Les logiciels de sécurité signalent rarement les programmes RMM légitimes, et l’accès initial passe souvent inaperçu pendant des semaines, voire des mois. Cette approche furtive permet aux attaquants d’exfiltrer discrètement des données, d’escalader leurs privilèges ou de préparer de futures attaques par ransomware - tout en restant invisibles.

Les experts en cybersécurité avertissent que cette tendance marque une évolution dangereuse des tactiques de phishing, exigeant une vigilance accrue tant des professionnels IT que des utilisateurs quotidiens. Dans la lutte pour la sécurité des entreprises, la confiance est devenue l’arme la plus puissante des hackers.

Conclusion

À mesure que les cybercriminels innovent, les organisations doivent repenser ce qu’elles considèrent comme fiable et la manière dont elles le vérifient. La prochaine attaque de phishing ne prendra peut-être pas la forme d’une arnaque maladroite, mais d’un outil apparemment banal - invité par vos propres soins.

WIKICROOK

  • Remote Monitoring and Management (RMM) : Les outils de Remote Monitoring and Management (RMM) permettent aux professionnels IT de contrôler, surveiller et maintenir des ordinateurs à distance - pratique pour l’assistance, mais risqué en cas de détournement.
  • Phishing : Le phishing est un cybercrime où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Initial Access Broker : Un Initial Access Broker est un cybercriminel qui s’introduit dans des systèmes et revend cet accès à d’autres attaquants, facilitant ainsi d’autres cybercrimes comme le ransomware ou le vol de données.
  • Payload : Un payload est la partie nuisible d’une cyberattaque, comme un virus ou un spyware, transmise via des e-mails ou fichiers malveillants lorsqu’une victime interagit avec eux.
  • Command : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, pour lui faire exécuter des actions spécifiques, parfois à des fins malveillantes.
Phishing Cybersecurity Remote Access
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news