Netcrook Logo
👤 LOGICFALCON
🗓️ 25 Apr 2026  

Au cœur de la tempête : comment des hackers ont transformé Microsoft Teams en machine de diffusion de malwares

Des cybercriminels exploitent l’ingénierie sociale et la suite de malwares personnalisée “Snow” pour infiltrer les réseaux d’entreprise via Microsoft Teams.

Tout a commencé par une avalanche d’e-mails - si nombreux qu’ils semblaient presque accidentels. Mais pour les employés qui les ont reçus, le véritable danger était encore à venir. Se faisant passer pour des membres serviables du support informatique sur Microsoft Teams, un groupe de cybercriminels insaisissable nommé UNC6692 s’apprêtait à lancer une attaque sophistiquée qui prendrait de court même les équipes de sécurité les plus aguerries.

L’anatomie de cette attaque est à la fois complexe et glaçante. Selon les chercheurs de Mandiant, UNC6692 commence par “bombarder” ses cibles d’e-mails, les submergeant de spams pour créer un sentiment d’urgence. Ensuite, se faisant passer pour des agents du support informatique via Microsoft Teams, les attaquants contactent directement les victimes, proposant un soi-disant “patch” pour bloquer le spam. Ce patch est en réalité un dropper : un programme malveillant qui exécute discrètement des scripts AutoHotkey pour installer “SnowBelt”, une extension Chrome conçue pour opérer en toute discrétion.

Les victimes ne voient jamais l’extension fonctionner, car elle s’exécute dans un navigateur Microsoft Edge sans interface. Pendant ce temps, les attaquants mettent en place des tâches planifiées et des raccourcis au démarrage pour assurer la persistance. Mais SnowBelt n’est qu’un début. Elle sert de relais de commandes, transmettant les instructions des attaquants à un autre outil : SnowBasin, une porte dérobée basée sur Python capable d’exécuter des commandes shell, de voler des fichiers, de capturer des captures d’écran, et plus encore.

Les communications entre la machine compromise et les serveurs de commande et de contrôle des attaquants sont masquées par SnowGlaze, un tunnel qui utilise des connexions WebSocket et peut relayer n’importe quel trafic réseau. Cela complique la tâche des défenseurs pour repérer les signes révélateurs d’une intrusion.

Une fois à l’intérieur, les attaquants agissent rapidement. Ils scannent les services vulnérables, extraient les identifiants de la mémoire et utilisent des techniques avancées comme le pass-the-hash pour rebondir d’un système à l’autre. Leur objectif final ? Prendre le contrôle total des joyaux du réseau : les contrôleurs de domaine et les bases de données Active Directory. À l’aide d’outils légitimes de forensic comme FTK Imager, ils exfiltrent des hives de registre critiques et des données d’identifiants, s’échappant via LimeWire - laissant derrière eux une traînée de secrets compromis.

La boîte à outils “Snow” est modulaire, persistante et furtive - elle incarne le nouveau visage des attaques d’ingénierie sociale en entreprise. Microsoft et Mandiant avertissent que ce mélange d’ingéniosité technique et de manipulation psychologique devient une tendance, les criminels exploitant les outils mêmes censés favoriser la productivité et la confiance.

À mesure que les organisations s’appuient davantage sur des plateformes collaboratives comme Microsoft Teams, la frontière entre assistance bienveillante et tromperie malveillante s’amenuise. Les attaques “Snow” rappellent crûment que, dans la tempête numérique du travail moderne, la vigilance reste le seul véritable abri.

WIKICROOK

  • Dropper : Un dropper est un type de malware qui installe secrètement d’autres programmes malveillants sur un appareil infecté, aidant les attaquants à contourner les mesures de sécurité.
  • Persistance : La persistance regroupe les techniques utilisées par les malwares pour survivre aux redémarrages et rester cachés sur les systèmes, souvent en imitant des processus ou mises à jour légitimes.
  • WebSocket : WebSocket est un protocole qui maintient un canal ouvert entre votre navigateur et un serveur, permettant un échange de messages bidirectionnel en temps réel.
  • Pass : Le pass-the-hash est une attaque où les cybercriminels utilisent des empreintes de mots de passe volées pour accéder à des systèmes, sans avoir besoin du mot de passe réel.
  • Active Directory : Active Directory est le système de Microsoft pour gérer les utilisateurs, appareils et permissions sur les réseaux d’entreprise, centralisant l’accès et les contrôles de sécurité.
Microsoft Teams Cybercrime Malware
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news