Une faille de sécurité de haute gravité dans le logiciel de visioconférence client **TrueConf** a été exploitée dans la nature en tant que zero-day dans le cadre d'une campagne ciblant des entités gouvernementales en Asie du Sud-Est, baptisée **TrueChaos**. ### CVE-2026-3502 : Exécution de code arbitraire via des mises à jour malveillantes La vulnérabilité en question est **CVE-2026-3502** (score CVSS : 7.8), un manque de vérification d'intégrité lors de la récupération du code de mise à jour de l'application. Cela permet à un attaquant de distribuer une mise à jour falsifiée, entraînant l'exécution de code arbitraire. La vulnérabilité a été corrigée dans le client **TrueConf** pour Windows à partir de la version 8.5.3, publiée plus tôt ce mois-ci. « La faille découle de l'abus du mécanisme de validation des mises à jour de **TrueConf**, permettant à un attaquant qui contrôle le serveur **TrueConf** sur site de distribuer et d'exécuter des fichiers arbitraires sur tous les points de terminaison connectés », a déclaré **Check Point** dans un rapport publié aujourd'hui. En d'autres termes, un attaquant qui parvient à prendre le contrôle du serveur **TrueConf** sur site peut remplacer le package de mise à jour par une version empoisonnée. Cette mise à jour malveillante est ensuite récupérée par l'application cliente installée sur les points de terminaison des clients, car elle n'applique pas de validation adéquate pour garantir que la mise à jour fournie par le serveur n'a pas été falsifiée. ### Campagne TrueChaos et le framework Havoc La campagne **TrueChaos** a été trouvée en train d'utiliser cette faille dans le mécanisme de mise à jour pour déployer probablement le framework open-source de commande et contrôle (C2) **Havoc** sur les points de terminaison vulnérables. L'activité a été attribuée avec une confiance modérée à un acteur malveillant lié à la Chine. Les attaques exploitant la vulnérabilité ont été enregistrées pour la première fois par la société de cybersécurité au début de 2026, la confiance implicite que le client accorde au mécanisme de mise à jour étant utilisée pour pousser un installateur non autorisé qui, à son tour, utilise le chargement latéral de DLL pour lancer une backdoor DLL.  L'implant DLL (« 7z-x64.dll ») a également été observé effectuant des actions manuelles pour mener des reconnaissances, établir la persistance et récupérer des charges utiles supplémentaires (« iscsiexe.dll ») à partir d'un serveur FTP (« 47.237.15[.]197 »). L'objectif principal de « iscsiexe.dll » est d'assurer l'exécution d'un binaire bénin (« poweriso.exe ») qui est déposé pour charger latéralement la backdoor. Bien que le malware exact de dernière étape livré dans le cadre de l'attaque ne soit pas clair, il est évalué avec une grande confiance que l'objectif final est de déployer l'implant **Havoc**. ### Nexus chinois et connexions à ShadowPad Les liens de **TrueChaos** avec un acteur malveillant lié à la Chine sont basés sur les tactiques observées, telles que l'utilisation du chargement latéral de DLL, **Alibaba Cloud** et **Tencent** pour l'infrastructure C2, et le fait que la même victime a été ciblée dans le même laps de temps par **ShadowPad**, une backdoor sophistiquée largement utilisée par des groupes de piratage liés à la Chine. De plus, l'utilisation de **Havoc** a été attribuée à un autre acteur malveillant chinois appelé Amaranth-Dragon dans des intrusions visant des agences gouvernementales et des forces de l'ordre en Asie du Sud-Est en 2025.  « L'exploitation de **CVE-2026-3502** n'a pas nécessité à l'attaquant de compromettre chaque point de terminaison individuellement », a déclaré **Check Point**. « Au lieu de cela, l'attaquant a abusé de la relation de confiance entre un serveur **TrueConf** central sur site et ses clients. En remplaçant une mise à jour légitime par une mise à jour malveillante, ils ont transformé le flux de mise à jour normal du produit en un canal de distribution de malware à travers plusieurs réseaux gouvernementaux connectés. »