L’évolution des tactiques cybercriminelles témoigne d’une sophistication croissante dans l’exploitation d’outils légitimes. Les attaquants privilégient désormais les techniques Living off the Land (LotL) et le détournement d’outils d’administration pour minimiser leur empreinte et contourner les systèmes de détection. L’analyse récente d’un incident impliquant Velociraptor, outil de réponse à incident et de forensique numérique, illustre cette tendance préoccupante.
Velociraptor : de l’outil forensique à l’arme cybercriminelle
Velociraptor constitue une solution open-source de surveillance d’endpoints et de forensique numérique largement adoptée par les équipes de sécurité pour l’investigation d’incidents et la collecte d’artefacts. Sa capacité à s’exécuter avec des privilèges élevés et à effectuer des opérations de collecte de données en fait paradoxalement une cible attractive pour les cybercriminels.
L’incident documenté par l’équipe de recherche Sophos Counter Threat Unit révèle un détournement sophistiqué de cette plateforme légitime. Les attaquants ont exploité les fonctionnalités natives de Velociraptor pour établir un tunnel de command-and-control via Visual Studio Code, démontrant une compréhension approfondie des capacités de l’outil.
Analyse de la chaîne d’attaque
Vecteur d’infection initial
L’attaque débute par l’utilisation de l’utilitaire Windows msiexec pour télécharger un installeur MSI depuis un domaine Cloudflare Workers. Cette approche présente plusieurs avantages tactiques : légitimité apparente du processus msiexec, réputation de confiance des domaines Cloudflare, et facilité de déploiement via les mécanismes d’installation Windows standard.
Déploiement et persistance
L’installeur MSI configure Velociraptor avec une communication vers un second domaine Cloudflare Workers, établissant ainsi un canal de commande. Cette infrastructure distribuée sur des services cloud légitimes complique considérablement la détection et le blocage des communications malveillantes.
Établissement du tunnel C2
La phase critique de l’attaque consiste en l’utilisation de Velociraptor pour télécharger et exécuter Visual Studio Code avec l’option tunnel activée. Cette technique exploite la fonctionnalité de tunneling intégrée à l’éditeur Microsoft pour créer un accès distant persistant. L’exécution s’effectue via une commande PowerShell encodée, technique classique d’évasion des systèmes de détection basés sur les signatures.
Déploiement d’outils complémentaires
L’analyse révèle l’utilisation récurrente de msiexec pour déployer des charges utiles supplémentaires, incluant l’outil de tunneling Cloudflare et Radmin, utilitaire d’administration à distance. Cette stratégie multi-outils maximise les options d’accès et de persistance.
Implications défensives
Défis de détection
Le détournement de Velociraptor pose des défis significatifs aux équipes de sécurité. L’outil étant légitime et potentiellement déployé par les équipes IT internes, sa présence ne constitue pas nécessairement un indicateur de compromission. La différenciation entre usage légitime et malveillant nécessite une analyse comportementale approfondie.
Indicateurs de compromission
Les signaux d’alerte incluent l’installation non autorisée de Velociraptor, les communications vers des domaines Cloudflare Workers non référencés, et l’exécution simultanée de Visual Studio Code avec des options de tunneling. La corrélation de ces événements avec d’autres activités suspectes devient cruciale pour l’identification précoce des intrusions.
Contexte élargi des menaces
Évolution tactique généralisée
Cette utilisation de Velociraptor s’inscrit dans une tendance plus large d’exploitation d’outils légitimes par les cybercriminels. Les plateformes de communication d’entreprise, notamment Microsoft Teams, font également l’objet d’un détournement croissant pour les phases d’accès initial et de déploiement de malware.
Campagnes Teams et ingénierie sociale
Les recherches récentes de Hunters et Permiso documentent des campagnes sophistiquées utilisant Microsoft Teams pour l’impersonation d’équipes IT. Ces attaques exploitent la confiance accordée aux outils collaboratifs intégrés pour déployer des solutions d’accès distant comme AnyDesk ou DWAgent, prélude au déploiement de charges utiles malveillantes.
Techniques de harvesting de credentials
L’évolution observée inclut l’utilisation de prompts d’authentification Windows factices pour collecter les identifiants utilisateurs. Cette approche combine ingénierie sociale et exploitation technique pour maximiser le vol d’informations d’authentification.
Les recommandations opérationnelles
Surveillance et détection
Les équipes SOC doivent implémenter une surveillance spécifique des déploiements d’outils forensiques et de réponse à incident non autorisés. L’établissement de baselines comportementales pour ces outils permet d’identifier les déviations suspectes.
Contrôles préventifs
La mise en place de politiques strictes de déploiement logiciel, incluant la validation des sources et la signature numérique, constitue une première ligne de défense. L’isolation des outils administratifs critiques dans des environnements contrôlés limite les possibilités d’exploitation.
Formation et sensibilisation
La sensibilisation des équipes techniques aux risques de détournement d’outils légitimes améliore la détection précoce des activités suspectes. La compréhension des tactiques d’ingénierie sociale via les plateformes collaboratives renforce la résilience organisationnelle.
et si je devais conclure
L’exploitation de Velociraptor par des cybercriminels illustre l’évolution sophistiquée des techniques d’attaque contemporaines. Cette tendance au détournement d’outils légitimes nécessite une adaptation des stratégies défensives, privilégiant l’analyse comportementale sur la détection basée sur les signatures. Les organisations doivent intégrer cette réalité dans leurs programmes de sécurité et adapter leurs capacités de détection en conséquence.
Enjoy !
Sources
Sophos Counter Threat Unit Research Team. « Velociraptor incident response tool abused for remote access. » Sophos News, 26 août 2025. [https://news.sophos.com/en-us/2025/08/26/velociraptor-incident-response-tool-abused-for-remote-access/]
The Hacker News. « Attackers Abuse Velociraptor Forensic Tool to Deploy Visual Studio Code for C2 Tunneling. » Août 2025. [https://thehackernews.com/2025/08/attackers-abuse-velociraptor-forensic.html]
Hunters Security. « Microsoft Teams phishing: fake IT helpdesk. » Blog Hunters Security, 2025.
Permiso. « Sliding into your DMs: Abusing Microsoft Teams for malware delivery. » Blog Permiso, 2025.
Push Security. « Phishing with Active Directory Federation Services. » Blog Push Security, 2025.
