Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

PhantomCore Exploits TrueConf Vulnerabilities to Breach Russian Networks

1 minute de lecture

Mis à jour :

Cyber-offensive : Le groupe PhantomCore cible les serveurs TrueConf en Russie

Le groupe de hacktivistes PhantomCore mène depuis septembre 2025 une campagne d’espionnage et de sabotage ciblant les serveurs de visioconférence TrueConf en Russie. Les attaquants exploitent une chaîne de trois vulnérabilités critiques pour contourner l’authentification et prendre le contrôle total des systèmes.

Points clés :

  • Mode opératoire : Utilisation d’une chaîne d’exploitation logicielle, suivie de l’installation de web shells, de backdoors personnalisées et d’outils de pivotement (tunnels SSH, SOCKS proxy).
  • Persistance : Les attaquants maintiennent un accès discret à long terme pour effectuer de la reconnaissance, de l’exfiltration de données et du mouvement latéral (via RDP/WinRM).
  • Outils diversifiés : Le groupe déploie un arsenal mélangeant outils légitimes détournés (Velociraptor, MemProcFS, outils d’administration) et malwares propriétaires (PhantomPxPigeon, MacTunnelRat).
  • Contexte élargi : D’autres groupes (CapFIX, Geo Likho, Paper Werewolf, etc.) multiplient également les campagnes d’ingénierie sociale et de phishing contre les infrastructures russes, utilisant notamment des leurres liés aux équipements Starlink ou à des simulateurs de drones.

Vulnérabilités exploitées (TrueConf Server) :

  • BDU:2025-10114 (Score 7.5) : Défaut de contrôle d’accès permettant d’interroger les points de terminaison administratifs sans authentification.
  • BDU:2025-10115 (Score 7.5) : Lecture arbitraire de fichiers sur le système.
  • BDU:2025-10116 (Score 9.8) : Injection de commandes permettant l’exécution de code arbitraire à distance avec les privilèges du système.

Recommandations :

  • Mise à jour immédiate : Appliquer les correctifs de sécurité fournis par l’éditeur TrueConf (publiés dès le 27 août 2025).
  • Audit d’intégrité : Rechercher la présence de comptes administrateurs suspects (ex: “TrueConf2”) et vérifier les journaux système pour identifier des connexions inhabituelles via WinRM ou RDP.
  • Surveillance réseau : Détecter les flux de communication suspects issus de tunnels (SSH/SOCKS) et la présence de fichiers PHP non autorisés dans les répertoires web.
  • Sensibilisation : Renforcer la vigilance face aux campagnes de phishing utilisant des documents archivés (ZIP/RAR) ou des communications usurpant l’identité d’agences gouvernementales.

Source

Vous pourriez aimer