● Numerama 📅 27/04/2026 à 11:33

Géopolitique 👤 Amine Baba Aissa

🏷️ Tags : chine phishing python réseau rte

Lecture Zen Résumer l'article Le groupe de hackers UNC6692 utilise la stratégie de l’ingénierie sociale pour d'abord désorienter leurs cibles avec une avalanche de mails non malveillants. En se faisant passer pour des agents de support sur Microsoft Teams, ils piègent les victimes pour qu'elles installent des programmes malveillants sophistiqués. Les outils utilisés par UNC6692 exploitent des infrastructures légitimes comme AWS et Microsoft, rendant difficile la détection de leurs activités malveillantes discrètes. Le groupe de hackers UNC6692 utilise la stratégie de l’ingénierie sociale pour d'abord désorienter leurs cibles avec une avalanche de mails non malveillants. En se faisant passer pour des agents de support sur Microsoft Teams, ils piègent les victimes pour qu'elles installent des programmes malveillants sophistiqués. Les outils utilisés par UNC6692 exploitent des infrastructures légitimes comme AWS et Microsoft, rendant difficile la détection de leurs activités malveillantes discrètes. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Dans un rapport publié le 23 avril 2026, les chercheurs en cybersécurité de Mandiant ont disséqué les méthodes d’intrusion du groupe de hackers UNC6692. Leur stratégie ? Se positionner d’abord comme élément perturbateur, puis comme sauveur. Snow Flurries, ou « averses de neige ». C’est le nom donné par les équipes de Mandiant à cette campagne cybercriminelle, dont les premiers signes remontent à fin décembre 2025. Dopée à l’ingénierie sociale et à la manipulation, elle débute par une avalanche de mails reçus par un employé d’une entreprise. Lors de cette phase de mail bombing, la cible reçoit, en quelques minutes, des centaines de messages : newsletters, confirmations d’inscription, alertes automatiques. Aucun lien piégé ni pièce jointe malveillante à ce stade ; le phishing n’intervient que plus tard dans le déroulé de l’attaque. L’objectif est avant tout de désorienter la victime, de saturer son attention et de la rendre réceptive à toute aide extérieure. Et ça ne rate pas. Les chercheurs de Mandiant expliquent dans leur rapport que, quelques instants plus tard, la cible reçoit systématiquement un message sur Microsoft Teams. L’interlocuteur se présente comme un agent du support informatique ayant repéré le problème et propose de le résoudre immédiatement. Il suffit, assure-t-il, de cliquer sur un lien pour installer un correctif. Épuisée par le chaos de sa boîte mail, la victime obtempère. C’est à ce moment-là que le lien de phishing apparaît, exactement ce qu’attendait le groupe UNC6692. La page de phishing n’apparaît dans le processus d’attaque qu’une fois la cible épuisée. // Source : Mandiant Une fausse page, un vrai vol Le lien mène alors vers une interface soignée, baptisée « Mailbox Repair and Sync Utility v2.1.5 ». Celle-ci force d’abord l’ouverture dans le navigateur Microsoft Edge afin de garantir le bon fonctionnement des outils malveillants, puis affiche un bouton « Health Check » qui déclenche une fenêtre de connexion. Faux SMS, mails frauduleux… Ne tombez plus dans le piège ! Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security. Sponsorisé Je me protège contre les arnaques. Lorsque la victime saisit son mot de passe, le formulaire le rejette une première fois, une manière pour les hackers de renforcer la crédibilité du dispositif et de s’assurer de capturer les bons identifiants. En arrière-plan, ceux-ci sont immédiatement envoyés vers un serveur AWS contrôlé par les attaquants, tandis qu’une barre de progression simule de fausses opérations techniques pour maintenir l’attention. Pendant que la victime attend la fin de la « réparation », un script s’exécute discrètement et installe SNOWBELT, une extension malveillante de navigateur maintenue active via des tâches planifiées Windows. Par son intermédiaire, deux autres outils sont déployés : SNOWGLAZE, un tunneleur Python qui établit un canal chiffré vers un serveur distant en camouflant son trafic en HTTPS légitime, et SNOWBASIN, un serveur HTTP local capable de recevoir des instructions telles que l’exécution de commandes, la capture d’écran ou l’exfiltration de fichiers. Les trois modules fonctionnent en pipeline : SNOWBELT reçoit les instructions, SNOWGLAZE les achemine et SNOWBASIN les exécute sur la machine compromise. Un groupe encore peu connu La cible initiale ne sert alors que de point d’entrée vers une compromission bien plus large de l’entreprise. Dans son rapport, Mandiant décrit comment les attaquants explorent ensuite le réseau interne, identifient les serveurs accessibles et se déplacent latéralement jusqu’à atteindre un serveur de sauvegarde. À ce stade, ils extraient la mémoire du processus LSASS, qui contient les mots de passe et les hashes des comptes ayant accédé au système. Ces données sont ensuite exfiltrées pour être analysées hors du réseau, limitant ainsi les risques de détection. Munis de ces hashes, les attaquants peuvent s’authentifier sur les contrôleurs de domaine via la technique du Pass-the-Hash, sans jamais avoir besoin des mots de passe en clair. Dernière étape, l’extraction complète de la base Active Directory, qui recense l’ensemble des comptes et des droits d’accès de l’organisation. Le rapport reste avare en informations sur le groupe à l’origine de ces opérations : UNC6692 est un acteur récemment suivi par les équipes de Mandiant. Les chercheurs soulignent toutefois la discrétion de ces attaques et la difficulté à les détecter une fois la compromission amorcée. Tous les outils utilisés sont soit légitimes, Microsoft Teams, Microsoft Edge, les tâches planifiées Windows, soit hébergés sur des infrastructures cloud de confiance comme AWS. Aucun logiciel exotique, aucun comportement réseau manifestement suspect, une approche que Mandiant qualifie de « living off the cloud », consistant à se fondre dans le trafic normal jusqu’au bout. Votre VPN préféré n'est pas celui que vous croyez Quels sont les meilleurs VPN en 2026 ? Notre comparatif Retrouvez notre comparateur pour choisir le meilleur VPN Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Pour ne rien manquer de l’actualité, suivez Numerama sur Google ! Crédit photo de la une : Montage Numerama Signaler une erreur dans le texte cyberattaque cybersécurité Cybercriminalité Ne plus voir cette pub Ne plus voir cette pub

🔗 Lire l'article original 👁️ 0 lecture