Operation TrueChaos: 0-Day Exploitation Against Southeast Asian Government Targets

1 minute de lecture

Mis à jour : March 31, 2026

Opération TrueChaos : Détournement de la chaîne de mise à jour TrueConf

L’opération « TrueChaos » désigne une campagne d’espionnage informatique ciblant des entités gouvernementales en Asie du Sud-Est. Les attaquants, probablement liés à des intérêts étatiques chinois, ont détourné le mécanisme de mise à jour légitime de la plateforme de visioconférence TrueConf pour déployer le framework de post-exploitation Havoc.

Points clés

Vecteur d’attaque : Utilisation d’une vulnérabilité zero-day dans le processus de mise à jour des serveurs TrueConf sur site. Une fois le serveur compromis, l’attaquant remplace le fichier de mise à jour légitime par une version malveillante, poussée automatiquement vers tous les clients connectés.
Impact : Exécution arbitraire de code sur l’ensemble des terminaux du réseau sans nécessiter de compromission individuelle de chaque poste.
Attribution : Les tactiques (DLL side-loading, usage d’outils comme Havoc), l’infrastructure C2 et le profil des cibles pointent vers un groupe d’espionnage lié à la Chine.

Vulnérabilité

CVE-2026-3502 (Score CVSS : 7.8) : Défaut de validation de l’intégrité et de l’authenticité des mises à jour dans le client TrueConf, permettant à un serveur contrôlé par l’attaquant de distribuer des fichiers malveillants.

Recommandations et détection

Correction : Mettre à jour les clients Windows TrueConf vers la version 8.5.3 ou supérieure (publiée en mars 2026).
Indicateurs de compromission (IOC) :
- Présence du répertoire C:\ProgramData\PowerISO\ contenant poweriso.exe ou 7z-x64.dll.
- Présence de fichiers suspects : iscsiexe.dll, rom.dat, update.7z.
- Vérifier la signature numérique de trueconf_windows_update.exe ; un fichier non signé est un indicateur fort de compromission.
Surveillance comportementale :
- Surveiller la chaîne de processus : trueconf.exe → trueconf_windows_update.exe → trueconf_windows_update.tmp → tout exécutable.
- Détecter l’usage détourné de l’outil système iscsicpl.exe pour une élévation de privilèges via le chargement d’une DLL malveillante (iscsiexe.dll).
- Repérer l’exécution de commandes suspectes via poweriso.exe (ex: curl, winrar.exe utilisé pour extraire des archives).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Operation TrueChaos: 0-Day Exploitation Against Southeast Asian Government Targets

Opération TrueChaos : Détournement de la chaîne de mise à jour TrueConf

Points clés

Vulnérabilité

Recommandations et détection

Partager sur

Vous pourriez aimer

Weekly Update 497

L’automatisation par l’IA au cœur des opérations HIBP

Vulnérabilité dans F5 BIG-IP Access Policy Manager (31 mars 2026)

Vulnérabilité critique exploitée dans F5 BIG-IP APM

Vertex AI Vulnerability Exposes Google Cloud Data and Private Artifacts

Vulnérabilité majeure dans Google Vertex AI : Risque d’exfiltration de données et compromission d’infrastructure

TrueConf Zero-Day Exploited in Attacks on Southeast Asian Government Networks

Campagne TrueChaos : Exploitation Zero-Day de TrueConf