Cato CTRL identifie une campagne ciblant des utilisateurs à privilèges en entreprise, s’appuyant sur des pages reCAPTCHA falsifiées hébergées sur Tigris, Oracle Cloud et Scaleway.
Cato Networks a révélé une campagne sophistiquée de diffusion de Lumma Stealer, un malware-as-a-service conçu pour voler des identifiants, des données système et des portefeuilles de cryptomonnaies.
Cette opération malveillante, surveillée depuis février 2025 par l’équipe de recherche Cato CTRL, vise spécifiquement des utilisateurs techniques ou haut placés au sein des entreprises. Pour cela, les attaquants utilisent de fausses pages de vérification reCAPTCHA, hébergées sur des plateformes cloud légitimes comme Tigris Object Storage, Oracle Cloud Infrastructure (OCI) et Scaleway Object Storage.
Une méthode d’infection basée sur l’ingénierie sociale
Le mécanisme d’attaque repose sur une ruse habile. Les victimes sont incitées à copier une commande PowerShell pré-remplie dans leur presse-papiers, puis à l’exécuter manuellement via le raccourci Windows + R. Cette commande déclenche mshta.exe, un exécutable Windows légitime souvent détourné à des fins malveillantes. Ce dernier télécharge alors un faux fichier vidéo nommé sports.mp4, qui contient en réalité le malware Lumma Stealer.
L’examen du code a révélé la présence de commentaires en langue russe, renforçant l’hypothèse d’une origine russophone. Des mentions telles que « code poubelle », « fonction leurre » ou encore « variable inutile » semblent conçues pour tromper les analystes et ralentir leurs investigations.
Une campagne évolutive sur plusieurs mois
La campagne s’est déroulée en trois phases successives avec premièrement, un hébergement sur Tigris Object Storage en février 2025, ensuite, en mars 2025 c’est une migration vers Oracle Cloud Infrastructure et enfin, Lumma Stealer a utilisé Scaleway Object Storage plus récemment, en mai 2025.
Si le schéma d’attaque reste similaire, les techniques employées ont évolué pour contourner les défenses de plus en plus sophistiquées.
Cato Networks a alerté les plateformes concernées à la fin mai 2025 et les fournisseurs de cloud ont eu différentes réactions : Tigris a confirmé la suppression de l’échantillon malveillant, Scaleway a accusé réception et retiré les pages frauduleuses et Oracle n’avait pas encore répondu à la date de publication du rapport.
Un signal d’alerte pour l’ensemble de l’écosystème cloud
Selon Cato CTRL, cette campagne illustre la manière dont les cyberattaquants adaptent leurs techniques aux environnements utilisés par les entreprises. En exploitant la confiance accordée aux plateformes cloud et les réflexes d’utilisateurs expérimentés, ils renforcent l’efficacité de leurs opérations.
L’éditeur souligne enfin la nécessité d’une collaboration étroite entre fournisseurs de services cloud et équipes de cybersécurité, afin de limiter les dérives et les usages détournés d’infrastructures pourtant légitimes.
