Des attaques ont ciblé les serveurs de conférence de TrueConf, exploitant une vulnérabilité de type zero-day qui permet aux hackers d’exécuter des fichiers arbitraires sur tous les points de terminaison connectés. Cette faille, référencée CVE-2026-3502, présente un niveau de gravité moyen et découle d’un contrôle d’intégrité manquant dans le mécanisme de mise à jour du logiciel. Cela permet de remplacer une mise à jour légitime par une version malveillante.
TrueConf est une plateforme de visioconférence, principalement conçue pour fonctionner en tant que serveur auto-hébergé, bien qu’elle prenne en charge des déploiements cloud. Au cours de la pandémie de COVID-19, plus de 100 000 organisations ont adopté TrueConf pour mener leurs activités commerciales à distance, incluant des forces militaires, des agences gouvernementales, ainsi que des entreprises de gestion du trafic aérien.
Les chercheurs de CheckPoint ont observé une campagne, nommée TrueChaos, exploitant la CVE-2026-3502 pour cibler des entités gouvernementales en Asie du Sud-Est depuis le début de l’année. L’entreprise a déclaré que « un attaquant qui prend le contrôle du serveur TrueConf peut remplacer le paquet de mise à jour prévu par un exécutable arbitraire, présenté comme la version actuelle de l’application, et le distribuer à tous les clients connectés. »
Cette vulnérabilité concerne les versions de TrueConf 8.1.0 à 8.5.2. À la suite du rapport de CheckPoint, un correctif a été publié dans la version 8.5.3 en mars 2026.
Opération TrueChaos
CheckPoint exprime une confiance modérée dans l’attribution de l’activité TrueChaos à un acteur malveillant ayant des liens avec la Chine, en se basant sur les tactiques, techniques et procédures (TTPs) observées, l’utilisation des services de Alibaba Cloud et Tencent pour l’hébergement de l’infrastructure de commandement et contrôle (C2), ainsi que sur l’analyse des victimes.
Les attaques se propagent via un serveur gouvernemental TrueConf géré de manière centralisée, impactant plusieurs agences en diffusant des fichiers malveillants sous forme de mises à jour frauduleuses à tous les clients connectés.
Source : Check Point
La chaîne d’infection intègre le sideloading de DLL et le déploiement d’outils de reconnaissance (tel que tasklist), ainsi que l’élévation de privilèges (contournement de l’UAC via iscicpl.exe), et l’établissement d’une persistance malveillante.
Les chercheurs n’ont pas pu récupérer le payload final, mais ont observé que le trafic réseau indiquait une infrastructure C2 nommée Havoc, ce qui laisse supposer que l’implant Havoc a été utilisé.
Source : Check Point
Havoc est un framework C2 open-source capable d’exécuter des commandes, de gérer des processus, de manipuler les jetons Windows, d’exécuter du code shell et de déployer des payloads supplémentaires sur des systèmes compromis. Il a été précédemment utilisé par un groupe de menaces chinois dénommé Amaranth Dragon dans des attaques similaires.
Le rapport de CheckPoint fournit des indicateurs de compromission (IoCs) ainsi que plusieurs signaux d’infection. Les signaux forts de violation incluent la présence de poweriso.exe ou 7z-x64.dll, et des artefacts suspects tels que %AppData%RoamingAdobeupdate.7z ou iscsiexe.dll.