Les cybercriminels exploitent de plus en plus **Microsoft Teams** pour cibler les employés, se faisant passer pour le personnel informatique et le service d'assistance. **KongTuke**, connu pour vendre l'accès réseau aux opérateurs de ransomware, a adopté cette méthode pour s'implanter rapidement au sein des organisations. ### Le Vecteur d'Attaque L'attaque consiste à convaincre les victimes d'exécuter une commande PowerShell malveillante, qui télécharge et exécute le malware "ModeloRAT".  *La commande PowerShell utilisée dans les attaques observées. Source : ReliaQuest* Les chercheurs de **ReliaQuest** ont observé ce changement de tactique, notant que **KongTuke** s'appuyait auparavant sur des leurres web "FileFix" et "CrashFix". Selon **ReliaQuest**, "Cette activité Teams, qui semble s'ajouter à l'approche web plutôt que la remplacer, marque la première fois que nous voyons KongTuke utiliser une plateforme de collaboration pour l'accès initial." ### Détails de la Campagne La campagne est active depuis au moins avril 2026, **KongTuke** faisant tourner cinq locataires **Microsoft 365** pour échapper à la détection. Pour usurper l'identité du support informatique interne, l'attaquant utilise des astuces d'espacement Unicode pour que le nom d'affichage paraisse légitime. La commande PowerShell malveillante télécharge une archive ZIP depuis **Dropbox** contenant un environnement WinPython portable, qui lance ensuite ModeloRAT (Pmanager.py) basé sur Python. ### Capacités de ModeloRAT Le malware collecte des informations sur le système et l'utilisateur, capture des captures d'écran et peut exfiltrer des fichiers. **ReliaQuest** souligne plusieurs évolutions clés dans la version de ModeloRAT utilisée dans cette campagne : 1. **Architecture C2 Résiliente** : Un pool de cinq serveurs, basculement automatique, chemins d'URL aléatoires et capacité d'auto-mise à jour. 2. **Chemins d'Accès Multiples** : Un RAT principal, un reverse shell et un backdoor TCP, fonctionnant sur une infrastructure séparée. 3. **Persistance Étendue** : Run keys, raccourcis de démarrage, lanceurs VBScript et tâches planifiées au niveau SYSTEM.  *La tâche planifiée persistante. Source : ReliaQuest* Notamment, la tâche planifiée n'est pas supprimée par la routine d'auto-destruction de l'implant, lui permettant de persister à travers les redémarrages du système. ### Stratégies d'Atténuation Pour se défendre contre les attaques initiées par Teams, il est recommandé de restreindre la fédération externe **Microsoft Teams** à l'aide de listes d'autorisation. Cela peut aider à bloquer les tentatives de contact initiales. Les administrateurs devraient également exploiter les indicateurs de compromission (IOC) fournis dans le rapport de **ReliaQuest** pour rechercher proactivement les signes de compromission et les artefacts de persistance. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" data-src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="article image"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">99% de ce que Mythos a trouvé n'est toujours pas corrigé.</a></h2> <p>L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive.</p> <p>Au Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la boucle de remédiation.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Réservez Votre Place</a></p> </div> </div>