TrueConf Zero-Day Exploited in Attacks on Southeast Asian Government Networks

Campagne TrueChaos : Exploitation Zero-Day de TrueConf

La campagne de cyberespionnage « TrueChaos » cible des organismes gouvernementaux en Asie du Sud-Est en exploitant une faille zero-day au sein du logiciel de visioconférence TrueConf. Attribuée à des acteurs liés à la Chine, cette opération détourne le mécanisme de mise à jour du logiciel pour déployer des backdoors (notamment le framework Havoc).

Points clés :

• Vecteur d’attaque : Les attaquants prennent le contrôle d’un serveur TrueConf sur site pour remplacer les mises à jour légitimes par des paquets corrompus.
• Mécanisme : Le client TrueConf exécute automatiquement ces fichiers malveillants, qui utilisent ensuite le chargement latéral de DLL (DLL side-loading) pour installer une porte dérobée.
• Infrastructure : Utilisation d’outils comme Havoc, Alibaba Cloud et Tencent pour le commandement et contrôle (C2).

Vulnérabilité :

• CVE-2026-3502 (Score CVSS 7.8) : Absence de vérification d’intégrité lors de la récupération des mises à jour, permettant l’exécution de code arbitraire sur les postes clients.

Recommandations :

• Mise à jour immédiate : Appliquer la version 8.5.3 ou supérieure du client TrueConf Windows, qui corrige la faille de validation des mises à jour.
• Surveillance réseau : Surveiller les communications inhabituelles avec des serveurs FTP tiers et détecter les comportements suspects liés au chargement de DLL non signées.
• Sécurisation des serveurs : Renforcer la sécurité des serveurs TrueConf sur site pour prévenir tout accès non autorisé qui servirait de point de rebond pour la distribution de malwares.

Source