Une recherche publiée par Cato Networks revient sur une cyberattaque ayant ciblé une PME française du secteur automobile ainsi que quatre particuliers entre le 30 mars et le 1er mai 2026. Les chercheurs montrent qu’un attaquant est parvenu à conserver un accès aux systèmes compromis pendant plus de deux semaines après la mise hors ligne de son serveur de commande et de contrôle.
Menée par Cato CTRL, l’équipe de recherche sur les cybermenaces de l’éditeur, l’étude s’appuie sur l’observation de 339 commandes exécutées durant 33 jours. Les chercheurs ont ainsi pu reconstituer l’ensemble de la chaîne d’attaque, depuis la compromission initiale jusqu’au maintien des accès sur les postes infectés.
L’opération visait principalement à dérober des données sensibles, notamment des identifiants bancaires, des accès à des services de messagerie et des comptes administrateurs. Pour y parvenir, l’attaquant a notamment installé un enregistreur de frappes clavier sur les machines compromises.
L’analyse met en évidence le rôle des mécanismes de persistance dans cette opération. Le 7 avril, l’attaquant a déployé des outils d’accès distant reposant sur un réseau VPN maillé. Lorsque le serveur utilisé est devenu indisponible le lendemain, les accès aux systèmes compromis sont restés opérationnels. Dix-huit jours plus tard, lors du redémarrage du serveur, les connexions malveillantes ont été rétablies automatiquement, sans nouvelle compromission.
Pour les chercheurs, cette séquence illustre une évolution des modes opératoires. La neutralisation de l’infrastructure de commande et de contrôle ne suffit plus nécessairement à interrompre une intrusion lorsque des mécanismes de persistance ont été installés directement sur les postes de travail.
L’étude montre également que ce type d’opération peut être conduit à l’aide d’outils largement accessibles. Identifié sous le pseudonyme « Poisson » et s’exprimant en français, l’attaquant s’est appuyé sur des services gratuits ou peu coûteux pour déployer une chaîne d’intrusion comprenant un chargeur VBScript chiffré, un malware basé sur le framework Havoc, une élévation de privilèges, des mécanismes de persistance ainsi que plusieurs outils d’accès distant et de collecte de données.
Les chercheurs invitent enfin les équipes de sécurité à renforcer la surveillance de certains indicateurs de compromission, comme l’installation inhabituelle d’outils d’administration à distance, l’apparition de connexions sortantes non légitimes ou encore l’exécution de tâches planifiées avec des privilèges élevés.
