6 février 2026
Une cyberattaque sophistiquée documentée par les chercheurs de Huntress en février 2026
Intrusion via des identifiants VPN compromis
Les attaquants ont accédé au réseau cible en exploitant des identifiants SonicWall SSLVPN volés. Les journaux d’authentification montrent un premier essai infructueux de connexion depuis l’adresse IP 193.160.216.221, suivi d’une connexion réussie via un client VPN quelques secondes plus tard. Ce schéma indique un test systématique des identifiants.
Après avoir réussi l’authentification, les attaquants ont immédiatement lancé une reconnaissance réseau. Les systèmes IPS de SonicWall ont détecté des balayages ICMP, des requêtes NetBIOS et une activité SMB intense, marquant la phase de cartographie des systèmes accessibles dans le réseau compromis.

Technique BYOVD avec un pilote de forensique EnCase
L’outil central de l’attaque était une application Windows 64 bits déguisée en outil de mise à jour du firmware. Le malware utilise la méthode « Bring Your Own Vulnerable Driver » en exploitant un pilote légitime de Guidance Software (EnCase) à des fins forensiques.
Chiffrement basé sur un dictionnaire
Les développeurs ont implémenté un procédé de chiffrement inhabituel ; au lieu d’utiliser une cryptographie conventionnelle, une substitution est appliquée, où chaque octet est traduit en un mot anglais. Un dictionnaire intégré de 256 termes formant la base du chiffrement est utilisé.
Le code malveillant chiffré contient 384.528 octets de mots séparés par des espaces. La séquence “block both choice about” se décoderait en valeurs hexadécimales “4D 5A 90 00”, correspondant à l’en-tête caractéristique d’un Windows PE.
Cette approche contourne les mécanismes de détection basés sur des chaînes de caractères, car la forme codée ne contient aucune API suspecte ou signature binaire. Les analyses basées sur l’entropie échouent également.
Désactivation systématique des logiciels de sécurité
Après décodage, le malware se stocke sous “C:\ProgramData\OEM\Firmware\OemHwUpd.sys” et applique des mesures anti-forensiques. Les attributs de fichier sont définis sur “caché” et “système”, tandis que les horodatages sont copiés depuis ntdll.dll.
Il contient 59 noms de processus cibles de fournisseurs de sécurité et utilise des comparaisons de hachage pour identifier et terminer rapidement les processus de sécurité en cours d’exécution. Exceptionnellement, le logiciel Huntress n’était pas sur la liste des processus à fermer.

Permanence par enregistrement de service
Le malware s’enregistre comme un service du noyau Windows, prétendant être un logiciel légitime. Cela permet un chargement dans le noyau et assure sa permanence après redémarrages du système.
Vulnérabilité dans la vérification des signatures de pilote
Depuis Windows Vista x64, Microsoft exige des signatures numériques pour les pilotes en mode noyau. Cependant, le noyau ne vérifie pas les listes de révocation de certificats, ce qui permet à des pilotes compromis d’être chargés, comme en atteste le certificat EnCase, expiré depuis 2010.
Stratégie de listes de blocage de Microsoft
Microsoft a introduit une liste de blocage de pilotes vulnérables, qui fonctionne de manière réactive. Un pilote doit être identifié et ajouté pour être bloqué.
Pourquoi le pilote EnCase se charge-t-il malgré tout ?
Le certificat du “EnPortv.sys” a été révoqué, mais il passe en raison de plusieurs facteurs, comme une règle d’exception propice à la compatibilité descendante et un timestamp valide.
Interface IOCTL pour la terminaison de processus
Le pilote expose une interface IOCTL permettant aux processus en mode utilisateur de terminer n’importe quel processus. Cela contourne les protections en mode utilisateur, y compris le Protection Process Light (PPL).
Recommandations pour sécuriser votre système
Huntress a réussi à interrompre l’attaque avant le déploiement de la ransomware. Ils conseillent les mesures suivantes :
- Multi-Facteur d’Authentification : Déployer la MFA pour tous les accès distants.
- Surveillance des Journaux VPN : Analyser régulièrement les journaux d’authentification pour détecter des modèles anormaux.
- Activation HVCI/Intégrité de la mémoire : Assurer l’application de la liste des pilotes vulnérables de Microsoft.
- Surveillance des services : Alerter sur la création de services portant des noms OEM en dehors des logiciels réguliers.
- Règles de blocage WDAC : Déployer les règles de blocage des pilotes recommandées par Microsoft.
- Activation de la règle ASR : Empêcher les applications d’écrire de mauvais pilotes connus sur les disques.
Cette chaîne d’attaque documentée par les chercheurs met en lumière la professionnalisation croissante des techniques de BYOVD dans les campagnes cybernétiques contemporaines.
Points à retenir
- Les attaques ciblant les VPN à l’aide d’identifiants compromis sont de plus en plus fréquentes.
- La reconnaissance réseau précédente à une attaque permet de cartographier des systèmes vulnérables.
- Les techniques de traitement des signatures de pilotes peuvent présenter des failles.
- La mise en œuvre de mesures de sécurité proactives peut limiter les dégâts potentiels.
- Les systèmes d’alerte en temps réel jouent un rôle essentiel dans la prévention des intrusions.
En tant que citoyen du numérique, je pense qu’il est crucial d’adapter en permanence nos stratégies de sécurité face à des menaces qui évoluent constamment. La vigilance et la proactivité doivent devenir des priorités pour tous, qu’il s’agisse d’individus ou d’entreprises, afin de minimiser les impacts de telles cyberattaques.
