EncryptHub : Une campagne d’attaques sophistiquée utilisant Teams et une vulnérabilité Windows
Introduction : Depuis août 2025, le groupe de cybercriminels russe EncryptHub a intensifié ses activités malveillantes en combinant ingénierie sociale et exploitation d’une faille critique dans Windows. Cette campagne vise à infiltrer des systèmes informatiques en utilisant Microsoft Teams comme vecteur d’attaque.
Faits vérifiés
Le groupe EncryptHub, également connu sous les noms de LARVA-208 et Water Gamayun, exploite la vulnérabilité CVE-2025-26633, surnommée « MSC EvilTwin ». Selon un rapport de Trustwave SpiderLabs, cette faille a été corrigée par Microsoft en mars 2025. Les cybercriminels utilisent des techniques d’ingénierie sociale pour manipuler leurs victimes, contournant ainsi les défenses initiales.
Développement
La chaîne d’attaque mise en place par EncryptHub commence par une prise de contact via Microsoft Teams, où l’attaquant se fait passer pour un membre du support informatique. L’objectif est d’établir une connexion à distance pour déployer des malwares. Les pirates téléchargent deux fichiers Microsoft Console (.msc) portant le même nom, l’un étant légitime et l’autre malveillant. En lançant le fichier sain, la victime active involontairement le fichier malveillant, qui télécharge et exécute un script PowerShell depuis un serveur distant. Ce script collecte des informations système et établit une communication sécurisée avec le serveur de commande et de contrôle (C2) d’EncryptHub.
Les chercheurs soulignent que cette communication est chiffrée en AES, ce qui permet aux attaquants de contrôler à distance les machines infectées. Les conséquences de cette attaque peuvent être graves, notamment le vol d’informations sensibles par le biais de logiciels malveillants tels que Fickle Stealer.
Réactions officielles
« Le groupe derrière EncryptHub démontre des capacités significatives et une forte capacité d’adaptation, combinant ingénierie sociale, détournement de plateformes de confiance et exploitation de vulnérabilités système pour maintenir persistance et contrôle », Trustwave, août 2025.
Contexte
EncryptHub a été identifié pour la première fois mi-2024 et représente une menace croissante dans le paysage de la cybersécurité. L’évolution constante de leurs techniques d’attaque souligne l’importance d’une vigilance accrue et de stratégies de défense robustes.
Désinformation et rumeurs
- Affirmation concernant l’utilisation de Microsoft Teams : confirmée. Mention des médias (Trustwave, AFP).
- Affirmation sur la vulnérabilité CVE-2025-26633 : confirmée. Mention des médias (Microsoft, Reuters).
Sources
« L’article est apparu en premier ici »
Date de publication : 2025-08-19 07:39:00
Auteur : Cédric Balcon-Hermand – Consulter sa biographie, ses projets et son travail. Cet article a été vérifié, recoupé, reformulé et enrichi selon la ligne éditoriale Artia13, sans reprise d’éléments protégés.
Application officielle :
Téléchargez Artia13 Actualité sur Google Play
Retrouvez également tous nos contenus sur artia13.city
Notre IA contre la désinformation :
Analyzer Fake News – GPT spécialisé conçu par Artia13
![[Marché de Noël 2025] Ouverture des inscriptions en ligne](https://www.artia13.city/wp-content/plugins/wp-fastest-cache-premium/pro/images/blank.gif)
