Des chercheurs en cybersécurité ont découvert une campagne d'espionnage persistante au cours de laquelle des attaquants inconnus ont maintenu l'accès à la messagerie **Outlook** d'un dirigeant de haut niveau d'une bourse pendant au moins cinq mois. La violation, détaillée par **Symantec** et l'équipe Threat Hunter de **Carbon Black**, a impliqué l'exfiltration furtive de l'intégralité de la boîte aux lettres du dirigeant, acheminée via des services cloud grand public pour masquer l'activité malveillante. ### Exfiltration de données dissimulée Les attaquants ont méticuleusement copié le contenu de la messagerie par petits lots répétés, garantissant que le trafic se fondait parfaitement dans les opérations cloud normales. Cette méthode, combinée à l'utilisation de services légitimes comme **Dropbox** et **OneDrive**, souligne un effort délibéré pour rester indétecté et compliquer l'attribution. La nature des données compromises – potentiellement y compris des détails de cotation non publics, des affaires de mise en application, des termes d'accords et des plans influençant le marché – suggère fortement un objectif de collecte de renseignements plutôt qu'un vol financier. ### Accès profond et origines incertaines L'activité malveillante initiale a été observée le 10 octobre 2025, date à laquelle les attaquants avaient déjà obtenu des privilèges de niveau SYSTEM sur la machine du dirigeant. Ils ont déployé des binaires déguisés en mises à jour **Adobe** et **OneDrive**, indiquant une compromission profonde. Bien que le point d'entrée initial reste inconnu, **Symantec** suggère qu'il provenait probablement d'un mouvement latéral au sein du réseau, originaire d'un appareil précédemment compromis. L'opération s'est intensifiée le 12 novembre, les attaquants obtenant un jeton d'API **Dropbox** et commençant les téléchargements de données via `curl`. Leur principal outil d'exfiltration était un voleur de boîte aux lettres personnalisé construit sur **Aspose**, une bibliothèque .NET légitime utilisée pour lire les fichiers **Outlook** OST et PST. Cet outil était exécuté périodiquement, extrayant de nouvelles données d'e-mails dans des plages de dates spécifiques, assurant une copie quasi continue mais discrète de la messagerie. ### Tactiques et outils d'évasion Pour maintenir la discrétion, les attaquants ont configuré des tâches planifiées pour imiter des services système légitimes d'**Adobe**, **Lenovo** et **OneDrive**. Pour l'exfiltration via **OneDrive**, ils se sont connectés directement à des adresses IP **Microsoft** codées en dur, contournant les recherches DNS que les outils de périmètre pourraient surveiller ou bloquer. Bien qu'ils aient brièvement testé l'hébergeur de fichiers public `temp.sh`, ils l'ont abandonné au profit des services cloud plus discrets. Une analyse plus approfondie de l'intrusion a révélé une boîte à outils plus large, comprenant **FRPC** pour le tunneling du trafic, **Secretsdump** pour l'extraction des identifiants Windows, **SharpDecryptPwd** pour la récupération des mots de passe d'applications enregistrés, et un outil pour contourner le contrôle de compte d'utilisateur (UAC) de Windows. L'utilisation d'outils publics et de services cloud grand public a, jusqu'à présent, empêché une attribution définitive à un groupe d'acteurs de menace spécifique. ### Au-delà des correctifs : L'impératif de surveillance Cet incident est particulièrement remarquable car il n'a pas impliqué l'exploitation d'une vulnérabilité nouvellement divulguée ou d'une **CVE**. Il s'agissait plutôt d'une intrusion ciblée contre la messagerie d'une personne, soulignant que les correctifs traditionnels seuls ne peuvent pas atténuer de telles menaces. Le fardeau de la défense incombe entièrement à une surveillance robuste et à des capacités de réponse rapides. Pour les professionnels de la sécurité informatique protégeant les organisations détenant des informations influençant le marché – telles que les bourses, les régulateurs ou les sociétés financières – la vigilance est primordiale. Les indicateurs clés de compromission comprennent une activité inhabituelle d'exportation de messagerie, des modèles d'accès **Outlook** suspects, des téléchargements vers des comptes personnels **Dropbox** ou **OneDrive**, un tunneling inattendu et l'extraction d'identifiants sur des systèmes utilisés par des utilisateurs privilégiés. Une surveillance proactive de ces comportements est cruciale pour détecter et déjouer des tentatives d'espionnage sophistiquées similaires.