Archives par mot-clé : zero-day

backdoor, cyberattaque

Chrome sous attaque : une faille critique exploitée dans une campagne de cyber espionnage

Une faille zero-day dans Google Chrome a été découverte par Kaspersky. Exploitée dans une campagne d’espionnage en cours, elle permet de contourner les protections de sécurité du navigateur.

Mi-mars 2025, une nouvelle offensive sophistiquée vient ébranler les défenses du navigateur le plus utilisé au monde. L’entreprise de cybersécurité Kaspersky a levé le voile sur une vulnérabilité critique dans Google Chrome, identifiée sous le nom de CVE-2025-2783. Cette faille, jusqu’alors inconnue, permettait aux attaquants de s’affranchir des mécanismes de protection de la sandbox, cette zone sécurisée censée contenir les menaces. Mais plus inquiétant encore : elle faisait déjà l’objet d’une exploitation active dans le cadre d’une opération d’espionnage ciblée.

Les chercheurs ont observé une vague d’infections débutant par des courriels d’hameçonnage savamment personnalisés. Une simple interaction — cliquer sur un lien — suffisait à déclencher l’enchaînement de l’attaque. Aucun téléchargement, aucune installation requise. En un clic, le système de la victime était compromis.

Baptisée « Operation ForumTroll« , cette campagne visait des profils bien définis : journalistes, chercheurs universitaires et membres d’institutions gouvernementales russes. Le subterfuge ? Des invitations à consulter le forum géopolitique « Primakov Readings« , un événement réel, dont les organisateurs n’avaient évidemment rien à voir avec l’affaire. Les liens piégés redirigeaient d’abord vers une version malveillante du site, avant de renvoyer — une fois l’exploit terminé — vers la véritable page. Discrétion assurée, détection contournée.

« Une sophistication rare, digne d’acteurs étatiques »

L’analyse du code malveillant laisse peu de place au doute : l’attaque ne visait pas à propager un rançongiciel ou à voler des données financières. Il s’agissait clairement d’un outil de surveillance avancé, typique d’une opération de cyber espionnage menée sur le long terme. Dans le jargon, on parle d’APT — Advanced Persistent Threat —, des menaces conçues par des groupes très organisés, souvent liés à des États.

« Cette vulnérabilité se distingue des dizaines de failles que nous avons découvertes au fil des ans« , souligne Boris Larin. Ce dernier insiste sur la capacité inédite de l’exploit à désactiver les barrières de la sandbox de Chrome sans laisser de trace visible. Une prouesse technique rare, nécessitant des moyens considérables. L’exploitation de la faille n’était qu’une pièce d’un puzzle plus vaste, impliquant au moins un autre exploit, encore non identifié, permettant l’exécution de code à distance (RCE).

L’un des aspects les plus troublants de cette attaque réside dans sa capacité à se fondre dans le décor numérique. Les liens malveillants étaient éphémères, générés de manière à ne rester actifs que quelques minutes après l’envoi du mail. Ce système rendait leur détection extrêmement difficile, même pour les logiciels de sécurité les plus performants. La charge utile (le malware) était livrée discrètement, sans déclencher d’alerte visible pour l’utilisateur.

Un correctif publié, mais l’enquête se poursuit

L’équipe de sécurité de Google a publié un correctif en date du 25 mars 2025, corrigeant la vulnérabilité CVE-2025-2783.

Ces attaques successives mettent en lumière une réalité préoccupante : les navigateurs web sont devenus l’un des vecteurs d’attaque privilégiés par les cybercriminels. Leur omniprésence sur les ordinateurs, combinée à leur accès aux données sensibles (identifiants, historique, sessions ouvertes), en fait des portes d’entrée idéales. Et bien que Google Chrome bénéficie d’un système de sécurité parmi les plus avancés, aucune solution n’est infaillible face aux menaces de niveau étatique.

L’apparition de failles zero-day — ces vulnérabilités inconnues des éditeurs et non encore corrigées — est particulièrement redoutée. Exploitées dans le silence, elles permettent des attaques fulgurantes, souvent indétectables jusqu’à ce qu’un expert lève le voile sur leur existence. Des 0day qui connaissent un vrai business, souvent orchestré dans l’ombre des claviers comme pour cette recherche d’un « jour zéro » pour Telegram pour 4 millions de dollars.

Les zero-days sont des armes numériques de haute précision. Lorsqu’elles sont déployées dans un contexte d’espionnage, elles ne visent pas nécessairement la quantité, mais la qualité des cibles. On cherche à infiltrer les bonnes personnes, pas les masses.

Un jeu d’échecs numérique aux ramifications géopolitiques

Si aucune attribution officielle n’a encore été formulée concernant l’Operation ForumTroll, les indices pointent vers un groupe disposant d’une expertise technique rare et d’un objectif clairement défini : surveiller certaines élites intellectuelles et administratives russes. Ce type de ciblage ciblé, couplé à une infrastructure très éphémère, est typique des opérations étatiques cherchant à éviter tout retentissement médiatique.

Dans le contexte actuel de tensions géopolitiques croissantes, l’usage de cyberattaques comme outils d’influence, de renseignement ou de déstabilisation est désormais monnaie courante. Les forums internationaux, les think tanks et les médias indépendants deviennent des cibles autant que des vecteurs d’information. Et dans ce paysage mouvant, chaque faille non corrigée devient une opportunité pour ceux qui savent la manier.

Alors que les failles zero-day deviennent des instruments d’espionnage de plus en plus perfectionnés, une question demeure : combien d’entre elles sommeillent encore dans le code de nos navigateurs préférés, prêtes à être exploitées dans l’ombre ?

Cybersécurité, Entreprise

Patch Tuesday de février 2025 : Les mises à jour critiques à ne pas manquer

Microsoft et Adobe renforcent la sécurité avec des correctifs majeurs en février 2025 dont plusieurs zero day.

Le Patch Tuesday de février 2025 apporte des mises à jour importantes pour Microsoft et Adobe, avec un total de 56 CVE corrigées pour Microsoft et 45 pour Adobe. Parmi elles, plusieurs vulnérabilités critiques et des Zero Day exploitées activement. Windows reste la priorité absolue ce mois-ci.

Ce mois-ci, Microsoft ralentit son rythme après la grosse mise à jour de janvier, mais continue de résoudre des vulnérabilités majeures, y compris deux Zero Day et une révision critique de Secure Boot. Adobe, quant à lui, cible principalement Adobe Commerce, corrigeant 30 CVE sur les 45 publiées. La mise à jour de Google Chrome est attendue sous peu, ce qui renforcera la sécurité des navigateurs basés sur Chromium, dont Microsoft Edge.

Vulnérabilités Microsoft exploitées

CVE-2025-21418 – Élévation de privilèges via AFD Windows

Microsoft corrige une vulnérabilité critique dans le pilote de fonction auxiliaire (AFD) Windows pour WinSock. Cette faille, exploitée activement, permet d’obtenir des privilèges SYSTEM, ce qui en fait une priorité pour toutes les versions de Windows, de Windows 10 à Server 2025. Son score CVSS est de 7,8.

CVE-2025-21391 – Élévation de privilèges via stockage Windows

Cette vulnérabilité concerne le stockage Windows et affecte également toutes les versions de Windows 10 à Server 2025. Son exploitation permet de gagner des privilèges élevés, ce qui justifie son traitement prioritaire. Score CVSS : 7,1.

CVE-2023-24932 – Secure Boot : une mise à jour essentielle

Une révision du correctif Secure Boot a été publiée, élargissant la couverture à Windows 11 24H2 et Server 2025. Cette faille, exploitée et publiquement divulguée, nécessite une mise à jour immédiate pour garantir une protection optimale.

Vulnérabilités Microsoft divulguées publiquement

CVE-2025-21377 – Usurpation d’identité via hachage NTLM

Cette faille de type Spoofing permet l’exposition de hachages NTLM, affectant toutes les versions de Windows. Bien que classée « Important » avec un score CVSS de 6,5, elle est publiquement divulguée, augmentant le risque d’exploitation.

CVE-2025-21194 – Contournement des fonctions de sécurité sur Microsoft Surface

Cette faille affecte les systèmes Surface et leur kit de développement. Bien que sa maturité d’exploitation ne soit pas encore prouvée, elle reste une menace potentielle à surveiller. Score CVSS : 7,1.

Vulnérabilités tierces : focus sur Adobe et Google Chrome

Adobe publie des mises à jour pour plusieurs de ses produits phares, dont InDesign, Commerce, Substance 3D, InCopy et Illustrator. La mise à jour d’Adobe Commerce, classée Priorité 1, corrige 30 des 45 CVE, ce qui la rend critique pour les entreprises utilisant cette plateforme.

Google Chrome publiera sa mise à jour de sécurité d’ici peu, impactant aussi Microsoft Edge et d’autres navigateurs basés sur Chromium. Étant donné la fréquence hebdomadaire des correctifs Chrome depuis août 2023, il est vivement conseillé de mettre à jour ses navigateurs chaque semaine.

Priorités de mise à jour pour février

  1. Microsoft Windows : Priorité absolue avec 3 CVE exploitées activement, 2 vulnérabilités publiquement divulguées et plusieurs correctifs critiques.
  2. Adobe Commerce : 30 CVE corrigées, une mise à jour classée Priorité 1.
  3. Navigateurs web : Les mises à jour hebdomadaires de Chrome, Edge et Firefox sont essentielles pour réduire le risque d’exploitation.
Mise à jour, Patch

Une faille critique dans 7-Zip expose les utilisateurs à des logiciels malveillants

Une vulnérabilité critique a été découverte dans le célèbre archiveur 7-Zip, permettant à des attaquants d’installer des logiciels malveillants tout en contournant le mécanisme de sécurité Mark of the Web (MoTW) de Windows.

Des chercheurs du Zero Day Initiative ont identifié une faille (CVE-2025-0411) dans 7-Zip, un outil largement utilisé pour compresser et extraire des fichiers. Cette vulnérabilité a reçu un score de 7 sur l’échelle CVSS, la classant comme modérément critique. Découverte mi-2022, cette faille exploite une faiblesse dans la gestion des archives, exposant ainsi les utilisateurs à des risques importants.

Le mécanisme MoTW, introduit par Windows, est conçu pour avertir les utilisateurs lorsqu’ils ouvrent des fichiers téléchargés depuis des sources non fiables. Cependant, dans les versions vulnérables de 7-Zip, ce système peut être contourné. Les fichiers extraits d’archives malveillantes ne portent pas la marque du Web, privant ainsi l’utilisateur d’un avertissement crucial.

Comment fonctionne cette faille ?

La faille repose sur la manipulation des archives. Lorsqu’un utilisateur extrait des fichiers depuis une archive spécialement conçue, 7-Zip ne leur applique pas la marque de sécurité MoTW. Cela signifie qu’un fichier potentiellement dangereux peut être exécuté sans que l’utilisateur ne reçoive d’alerte de sécurité.

Selon Trend Micro, cette faille peut être exploitée pour exécuter du code malveillant dans le contexte de l’utilisateur actuel. En d’autres termes, un attaquant peut utiliser cette vulnérabilité pour déployer des logiciels malveillants sur l’ordinateur de la victime.

Les mesures prises par 7-Zip pour corriger la vulnérabilité

Face à cette faille, les développeurs de 7-Zip ont rapidement réagi. Une nouvelle version de l’archiveur, numérotée 24.09, a été publiée. Cette mise à jour inclut un correctif pour le CVE-2025-0411, rétablissant la sécurité des utilisateurs.

Les utilisateurs qui n’ont pas encore installé la dernière version de 7-Zip restent vulnérables. Ignorer cette mise à jour expose les systèmes à des cyberattaques potentielles, en particulier si des fichiers sont téléchargés depuis des sources non vérifiées.

Le correctif a renforcé la gestion des fichiers extraits. Désormais, 7-Zip applique correctement le marquage MoTW, garantissant ainsi une protection accrue. Il est conseillé de télécharger la version 24.09 directement depuis le site officiel de 7-Zip pour éviter les versions compromises.

Cette vulnérabilité souligne une fois de plus l’importance de maintenir ses logiciels à jour. Elle illustre également comment des failles dans des outils couramment utilisés peuvent avoir des répercussions importantes sur la sécurité des utilisateurs.

Cybersécurité, Mise à jour, Patch

Vulnérabilité zero-day impactant un outil VPN pour entreprise

Mandiant a publié aujourd’hui des détails approfondis sur une vulnérabilité zero-day critique, référencée CVE-2025-0282, récemment divulguée et corrigée par Ivanti. Cette faille affecte les appliances Ivanti Connect Secure VPN (ICS), largement utilisées pour assurer la connectivité sécurisée des entreprises.

Ivanti a détecté cette compromission grâce à son outil dédié, Integrity Checker Tool (ICT), ainsi qu’à des outils tiers de surveillance de sécurité. Selon l’analyse de Mandiant, cette vulnérabilité a été exploitée activement dans la nature dès décembre 2024, vraisemblablement par un acteur de l’espionnage lié à la Chine.

Une exploitation avancée et ciblée

Mandiant rapporte que la CVE-2025-0282 [alerte du CERT SSI France] a été utilisée par des cybercriminels. Bien qu’il ne soit pas encore possible de confirmer l’identité exacte des attaquants, les chercheurs pensent avec une confiance modérée qu’ils appartiennent au groupe connu de bad hacker sous le nom UNC5221, un acteur déjà associé à des campagnes d’espionnage numérique.

Le malware SPAWN, précédemment lié à UNC5337, a été observé dans cette nouvelle attaque. En complément, d’autres familles de malwares comme DRYHOOK et PHASEJAM ont été identifiées. Cependant, les chercheurs précisent qu’ils ne disposent pas encore de données suffisantes pour attribuer ces attaques à un ou plusieurs acteurs spécifiques.

Impacts de la vulnérabilité CVE-2025-0282

L’exploitation de cette faille permet aux attaquants de réaliser des actions critiques :

Exécution de code à distance
Les cybercriminels peuvent prendre le contrôle des systèmes affectés, compromettant ainsi l’intégrité des données et la sécurité des environnements réseau.

Déplacement latéral
Une fois la brèche initiale exploitée, les attaquants se déplacent latéralement dans les systèmes connectés pour élargir leur accès, créant des impacts potentiellement dévastateurs au-delà de l’appareil directement visé.

Installation de portes dérobées persistantes
Des backdoors sont implantées pour maintenir l’accès aux systèmes compromis. Certaines de ces portes peuvent persister même après des mises à jour, ce qui incite Ivanti à recommander une réinitialisation complète pour les clients concernés.

Tactiques avancées des attaquants
Mandiant a observé deux techniques sophistiquées utilisées par les attaquants exploitant la CVE-2025-0282 :

Déploiement de PHASEJAM

Après avoir exploité la faille, les cybercriminels déploient un malware personnalisé nommé PHASEJAM, conçu pour empêcher l’installation des mises à jour système, garantissant ainsi un accès prolongé au système compromis.

Fausse barre de progression de mise à jour
Pour éviter de susciter la méfiance des administrateurs, une fausse barre de progression de mise à jour est affichée, simulant le bon déroulement des mises à jour alors qu’en réalité, le processus est bloqué par l’attaquant.

Mesures de détection et prévention
Les versions récentes d’Ivanti Connect Secure intègrent un outil performant, l’Integrity Checker Tool (ICT), qui s’est avéré efficace pour identifier les compromissions liées à la CVE-2025-0282. Cet outil exécute régulièrement des diagnostics pour détecter des anomalies ou des comportements inhabituels.

Cependant, Mandiant a signalé des tentatives des attaquants pour manipuler le registre des fichiers vérifiés par l’ICT, y intégrant leurs propres fichiers malveillants pour contourner les mécanismes de détection.

Cette vulnérabilité zero-day met en lumière les défis constants auxquels les entreprises sont confrontées en matière de sécurité numérique. Ivanti et Mandiant recommandent aux utilisateurs de déployer les mises à jour correctives immédiatement, de surveiller leurs systèmes pour détecter des anomalies, et de réinitialiser si nécessaire.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

backdoor, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Découverte d’un 0Day dans Silverlight

Un commentaire

Kaspersky Lab a découvert une vulnérabilité « Zero Day » dans Silverlight, une technologie web servant à visualiser des contenus multimédias. Cette faille offrirait à un pirate un accès total à un ordinateur infecté, lui permettant ainsi d’exécuter du code malveillant afin de dérober des informations confidentielles et de se livrer à d’autres activités illicites. La vulnérabilité (CVE-2016-0034) a été corrigée dans la dernière mise à jour de sécurité publiée par Microsoft ce mardi 12 janvier 2016. Sa découverte est le fruit de cinq mois d’enquête ayant fait suite à un article paru dans Ars Technica.

A l’été 2015, une cyberattaque lancée contre la société Hacking Team (connue pour le développement de « spyware légal ») a fait les gros titres. L’un des articles à ce sujet, publié dans Ars Technica, mentionnait une fuite dans des échanges supposés entre des représentants de Hacking Team et Vitaliy Toropov, un développeur indépendant de programmes exploitant des vulnérabilités. Entre autres choses, l’article citait une correspondance dans laquelle Toropov tentait de vendre à Hacking Team une faille Zero Day particulièrement intéressante : il s’agissait d’exploiter une vulnérabilité présente depuis quatre ans et toujours non corrigée dans la technologie Microsoft Silverlight. C’est cette information qui a mis la puce à l’oreille des chercheurs de Kaspersky Lab.

L’article en question ne fournissant aucune autre information sur la faille exploitée, les chercheurs ont entamé leur enquête en partant du nom du vendeur. Ils ont rapidement découvert qu’un utilisateur qui se nommait Vitaliy Toropov était un contributeur très actif de la base de données open source des vulnérabilités (OSVDB), où tout un chacun peut publier des informations dans ce domaine. En analysant son profil public sur le site OSVBD.org, les chercheurs de Kaspersky Lab se sont aperçu qu’en 2013, Toropov avait publié une preuve de concept (POC) décrivant un bogue dans la technologie Silverlight. Ce POC portait sur une ancienne vulnérabilité connue et aujourd’hui corrigée. Cependant, il donnait également des détails supplémentaires qui ont indiqué aux chercheurs de Kaspersky Lab comment l’auteur écrivait du code destiné à exploiter cette faille.

Au cours de l’analyse effectuée par les experts de Kaspersky Lab, certaines chaînes de code spécifiques se démarquaient véritablement. Grâce à ces informations, ils ont créé plusieurs règles de détection pour les technologies de protection de Kaspersky Lab : dès lors qu’un utilisateur, ayant accepté de communiquer des données sur les menaces à Kaspersky Security Network (KSN), rencontrait un logiciel malveillant qui présentait le comportement correspondant à ces règles de détection, le système marquait le fichier comme extrêmement suspect et adressait une notification à la société pour qu’il soit analysé. Cette tactique partait d’une hypothèse simple : si Toropov avait tenté de vendre l’exploitation d’une faille Zero Day à Hacking Team, il y avait de fortes chances pour qu’il ait fait de même auprès d’autres éditeurs de spyware. A la suite de cette activité, d’autres campagnes de cyber espionnage pouvaient s’en servir afin de cibler et d’infecter des victimes sans méfiance.

Cette hypothèse était fondée. Plusieurs mois après la mise en œuvre des règles spéciales de détection, un client de Kaspersky Lab a été la cible d’une attaque employant un fichier suspect présentant les caractéristiques recherchées. Quelques heures plus tard, quelqu’un (peut-être une victime des attaques) se trouvant au Laos a envoyé à un service multiscanner un fichier ayant les mêmes caractéristiques. Les experts de Kaspersky Lab, en analysant l’attaque, ont découvert que celle-ci exploitait en fait un bogue inconnu de la technologie Silverlight. Les informations concernant cette faille ont été communiquées sans délai à Microsoft pour validation.

« Bien que n’étant pas sûrs que la faille que nous avons découverte soit en fait celle évoquée dans l’article d’Ars Technica, nous avons de bonnes raisons de penser que c’est bien le cas. En comparant l’analyse de ce fichier aux travaux précédents de Vitaliy Toropov, nous sommes parvenus à la conclusion que l’auteur de l’exploitation de la vulnérabilité découverte récemment et l’auteur des POC publiés sur OSVDB sous le nom de Toropov était une seule et même personne. En même temps, il n’est pas impossible que nous ayons trouvé une autre faille Zero Day dans Silverlight. Globalement, ces recherches ont contribué à rendre le cyberespace un peu plus sûr en mettant au jour une nouvelle vulnérabilité Zero Day et en la révélant de manière responsable. Nous encourageons tous les utilisateurs des produits Microsoft à mettre à jour leurs systèmes dès que possible afin de corriger cette vulnérabilité », commente Costin Raiu, Directeur de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Les produits Kaspersky Lab détectent la vulnérabilité CVE-2016-0034 sous le nom de  HEUR :Exploit.MSIL.Agent.gen.

Antivirus, Chiffrement, cryptage, Cybersécurité, Logiciels, Mise à jour, Patch, Virus

Le processeur Qualcomm Snapdragon 820 équipé d’un anti malwares

Qualcomm Snapdragon Smart Protect équipera le prochain Snapdragon 820 de l’analyse comportementale afin de renforcer la sécurité et la détection de logiciels malveillants.

Qualcomm renforce son leadership technologique en matière de sécurité mobile avec l’introduction de Qualcomm Snapdragon™ Smart Protect. Le futur processeur Qualcomm Snapdragon 820 sera le premier équipé de Snapdragon Smart Protect, proposant le « machine learning » (apprentissage automatique) directement sur le terminal et en temps réel. Snapdragon Smart Protect va notamment permettre la détection précise et efficace de menaces émanant de malwares de type « zero-day » et améliorer ainsi la protection des données personnelles et la sécurité des terminaux. Snapdragon Smart Protect est également la première application à utiliser la technologie Qualcomm® Zeroth™ venant renforcer le champs d’action de solutions anti-malware conventionnelles, grâce à la détection de logiciels malveillants en temps réel, la classification et l’analyse des causes à un moteur d’analyse comportementale basé sur l’informatique cognitive.

Cyber-attaque, DDoS, Leak, Piratage

Hidden Lynx : des pirates professionnels qui vendent leurs services

Hidden Lynx : des pirates professionnels qui vendent leurs services. Par Security Response pour datasecuritybreach.fr. Ces dernières années, des rapports ont été régulièrement publiés sur les activités d’acteurs du Web responsables de diverses attaques ciblées et d’APT (Advanced Persistent Threats), ou menaces avancées persistantes. Symantec a enquêté sur un groupe de pirates qui compte parmi les plus performants. Il a été surnommé « Hidden Lynx », suite à une chaîne de script trouvée dans les communications des serveurs de commande et de contrôle. Ce groupe est plus motivé et dynamique que les autres groupes bien connus tels que APT1/Comment Crew. Il se caractérise par les éléments suivants : prouesse technique ; agilité ; organisation ; ingéniosité et patience.   Les compétences du groupe se sont illustrées lors de campagnes incessantes menées simultanément contre plusieurs cibles sur une longue période de temps. Ces pirates ont été les premiers à utiliser la technique du « trou d’eau » – « watering hole » en anglais – pour piéger leurs cibles. Ils accèdent rapidement aux failles « zero-day », et disposent de la ténacité et de la patience du chasseur intelligent qui compromet  la chaîne logistique afin d’atteindre sa véritable cible. Ces attaques contre la chaîne logistique consistent à infecter les ordinateurs d’un fournisseur de l’entreprise visée, dans l’attente que les ordinateurs infectés soient installés chez la cible et communiquent avec des ordinateurs distants. Ce sont clairement des actions froidement préméditées plutôt que des incursions impulsives d’amateurs.

Ce groupe ne se limite pas seulement à quelques cibles, mais vise des centaines d’entreprises différentes dans de nombreuses régions, même simultanément. Étant donné la diversité et le nombre des cibles et des régions concernées, Symantec en déduit que ce groupe est très probablement une organisation professionnelle de pirates qui louent ses services à des clients souhaitant obtenir des informations. Ils volent à la demande ce qui intéresse leurs clients, quelle qu’en soit la nature, d’où le large éventail de cibles.

Symantec pense également que pour mener des attaques de cette envergure, le groupe doit disposer d’un nombre considérable d’experts en piratage. Symantec estime que 50 à 100 opérateurs sont employés et répartis en au moins deux équipes distinctes, chargées de mener différentes activités à l’aide d’outils et de techniques divers. Ces types d’attaque nécessitent du temps et du travail. Certaines campagnes impliquent de rechercher et de collecter des renseignements avant de pouvoir mettre au point une attaque fructueuse.

Une équipe en première ligne utilise les outils disponibles ainsi que des techniques de base, mais suffisamment efficaces pour attaquer plusieurs cibles différentes. Elle peut également collecter des informations. Nous l’appelons l’équipe Moudoor, d’après le nom du cheval de Troie qu’elle utilise. Moudoor est un cheval de Troie de porte dérobée que l’équipe emploie largement sans se soucier de sa découverte par les spécialistes de la sécurité. L’autre équipe agit comme une unité d’opérations spéciales, composée de membres d’élite qui infiltrent les cibles les plus précieuses ou les plus robustes. Cette équipe utilise un cheval de Troie nommé Naid et, en conséquence, nous la définissons comme l’équipe Naid. Contrairement à Moudoor, le cheval de Troie Naid est utilisé avec parcimonie et prudence pour éviter qu’il ne soit détecté et bloqué, comme une arme secrète utilisée uniquement lorsque l’échec n’est pas envisageable.

Depuis 2011, Symantec a observé au moins six campagnes importantes menées par ce groupe. La plus remarquable d’entre elles est l’attaque VOHO de juin 2012. L’aspect intéressant de cette action était l’utilisation d’attaques de type « watering hole » (« trou d’eau ») destinée à compromettre la fiabilité des fichiers Bit9 pour la signature d’infrastructure. La campagne VOHO visait les fournisseurs de l’armée américaine dont les systèmes étaient protégés par une solution de protection de Bit9, mais lorsque l’attaque des pirates Hidden Lynx a été bloquée par cet obstacle, ils ont reconsidéré leur approche et estimé que la meilleure façon de contourner ce logiciel était de compromettre le cœur du système de protection proprement dit pour l’exploiter à leurs fins. C’est exactement ce qu’ils ont fait en se concentrant sur Bit9 et en pénétrant ses systèmes. Les pirates se sont alors rapidement introduits dans l’infrastructure de signature de fichier sur laquelle repose le modèle de protection de Bit9, et ont utilisé ce système pour signer un certain nombre de fichiers malveillants. Ils ont ensuite utilisé ces fichiers pour compromettre leurs cibles.