Campagne de Poisonnement SEO : Des Trojans Signés pour Voler Vos Identifiants VPN
par Manuel Cebrian·
À la mi-janvier 2026, les experts en sécurité de Microsoft Defender ont mis au jour une opération de vol d'informations d'identification orchestrée par le groupe malveillant motivé par le profit, Storm-2561.
Actif depuis mai 2025, ce collectif mise grandement sur l'optimisation des moteurs de recherche (SEO) pour propager des logiciels malveillants.
En élevant des sites web malveillants en haut des résultats de recherche pour des logiciels de réseau privé virtuel (VPN) d'entreprise populaires, les attaquants parviennent à tromper les utilisateurs et à les inciter à télécharger des applications frauduleuses.
La campagne cible spécifiquement les organisations qui dépendent de l'accès à distance, exploitant la confiance implicite que les utilisateurs accordent aux résultats en tête des moteurs de recherche et aux marques de logiciels établies.
Chaîne d'attaque et exécution
Lorsqu'un utilisateur recherche des outils tels que « client Pulse Secure » ou « Fortinet », les classements SEO compromis l'orientent vers des domaines contrefaits tels que vpn-fortinet[.]com ou ivanti-vpn[.]org.
Cliquez sur le lien de téléchargement redirige la victime vers un dépôt GitHub désormais inactif contenant un fichier ZIP malveillant nommé VPN-CLIENT.zip.
À l'intérieur de cet archive se trouve un installeur Windows (MSI) se faisant passer pour un véritable client VPN. Lors de son exécution, il installe l'exécutable principal ainsi que deux bibliothèques de liens dynamiques (DLL) malveillantes dans une structure de dossiers imitant le chemin du logiciel authentique.
La première DLL, dwmapi.dll, agit comme un chargeur en mémoire, déclenchant le second fichier, inspector.dll. Ce deuxième élément est une variante du voleur d'informations Hyrax.
Le malware présente immédiatement un faux écran de connexion VPN identique à celui d'un client de confiance.
Une fois que l'utilisateur saisit ses identifiants, la variante Hyrax collecte les données de connexion et les fichiers de configuration VPN existants, les exfiltrant vers un serveur de commande et de contrôle contrôlé par l'attaquant.
Pour garantir sa persistance, le malware s'ajoute à la clé de registre RunOnce de Windows, de sorte qu'il se lance automatiquement au redémarrage du système.
![Capture d'écran du site contrôlé par l'acteur vpn-fortinet[.]com se faisant passer pour Fortinet (Source : Microsoft)](https://x.net.fr/storage/2026/03/Campagne-de-Poisonnement-SEO-Des-Trojans-Signes-pour-Voler.webp.jpeg)
Tactiques d'évasion et indicateurs de compromission
Pour éviter la détection, Storm-2561 utilise un certificat numérique émis par « Taiyuan Lihua Near Information Technology Co., Ltd. » pour signer des installeurs et des DLL malveillants.
Devis SEO
Un expert disponible maintenant · Réponse sous 24h · Sans engagement
Ce code signé permet de contourner les avertissements de sécurité par défaut de Windows et limite les alertes des outils de sécurité, donnant un faux sentiment de légitimité au processus d'installation.
| Indicateur | Type | Description |
|---|---|---|
194.76.226[.]93 | Adresse IP | Serveur de commande et de contrôle actif recevant des données VPN volées |
vpn-fortinet[.]com | Domaine | Domaine d'accès initial spouffé utilisé dans l'empoisonnement SEO |
ivanti-vpn[.]org | Domaine | Domaine d'accès initial spouffé utilisé dans l'empoisonnement SEO |
inspector.dll | Nom de fichier | DLL malveillante variant du voleur d’informations Hyrax qui extrait des données |
De plus, le malware utilise une technique trompeuse post-vol. Après le vol des identifiants, il affiche une fausse erreur d'installation.
Il invite l'utilisateur à télécharger le véritable client VPN à partir de sources officielles. Parfois, il ouvre même directement le navigateur vers le site web du fournisseur légitime.
Étant donné que l'installation légitime du VPN fonctionne parfaitement, la victime suppose que la première tentative était simplement un problème technique et demeure complètement inconsciente de la compromission.
Les organisations sont invitées à activer la protection des points de terminaison livrée par le cloud, à mettre en œuvre une authentification multifactorielle stricte sur tous les appareils et à bloquer les fichiers exécutables qui ne correspondent pas aux critères de la liste de confiance.
Ma Vision
La montée des menaces numériques telles que celles orchestrées par Storm-2561 souligne l'importance cruciale d'une vigilance accrue en matière de cybersécurité auprès des entreprises. Il est essentiel de reconnaître que la confiance accordée aux résultats des moteurs de recherche peut parfois être exploitée. Cela nécessite une redéfinition des stratégies de sécurité, englobant non seulement des outils techniques, mais aussi une formation continue des utilisateurs pour les rendre plus conscients des risques encourus. À l'avenir, l'éducation persistante et l'adaptabilité des politiques de sécurité seront des acteurs clés pour contrer ces menaces émergentes.
Devis SEO
Un expert disponible maintenant · Réponse sous 24h · Sans engagement