Le courtier d’accès initial KongTuke exploite maintenant Microsoft Teams dans des attaques d’ingénierie sociale. Les opérateurs accèdent aux réseaux d’entreprises en cinq minutes pour un accès persistant.
Les acteurs de menace dupent les utilisateurs. Ces derniers copient une commande PowerShell malveillante. Celle-ci installe le malware ModeloRAT, déjà repéré dans des attaques ClickFix.
Les courtiers d’accès initial comme KongTuke vendent l’accès aux réseaux d’entreprises. Les opérateurs de ransomwares exploitent ces accès. Ils déploient des malwares qui volent des fichiers et chiffrent des données.
Les cybercriminels privilégient de plus en plus Microsoft Teams pour leurs attaques. Ils contactent les employés d’entreprises. Ils se font passer pour du personnel informatique ou d’assistance.
Les victimes exécutent la commande PowerShell malveillante sur leurs systèmes. Le malware ModeloRAT s’installe.
Source : ReliaQuest
Les chercheurs de ReliaQuest ont détecté cette activité. KongTuke change de tactique. Avant, les opérateurs se limitaient aux appâts web FileFix et CrashFix.
ReliaQuest précise que cette utilisation de Microsoft Teams complète l’approche web. Les experts n’avaient jamais vu KongTuke recourir à une plateforme collaborative pour un accès initial.
Dans les incidents analysés, un chat externe sur Teams mène du contact initial à un pied persistant en moins de cinq minutes.
La campagne sévit depuis avril 2026 au moins. KongTuke alterne sur cinq locataires Microsoft 365 pour contourner les blocages.
L’attaquant imite le support interne. Il recourt à des astuces avec des espaces Unicode pour falsifier le nom d’affichage.
La commande PowerShell malveillante provient de Teams. Elle télécharge une archive ZIP depuis Dropbox. L’archive inclut un environnement portable WinPython. Cet environnement exécute le malware Python ModeloRAT (Pmanager.py).
Le malware recueille des informations système et utilisateur. Il capture des captures d’écran. Il extrait des fichiers du système de fichiers hôte.
ReliaQuest signale des évolutions du ModeloRAT dans cette campagne récente. Trois changements principaux émergent :
- Une architecture C2 plus résistante avec un pool de cinq serveurs, un basculement automatique, des chemins URL aléatoires et une capacité d’auto-mise à jour.
- Des chemins d’accès multiples et indépendants, avec un RAT principal, un shell inversé et un backdoor TCP sur des infrastructures séparées. Ces voies préservent l’accès si un canal tombe.
- Des mécanismes de persistance étendus via des clés Run, des raccourcis de démarrage, des lanceurs VBScript et des tâches planifiées au niveau SYSTEM. Ces tâches résistent aux nettoyages standards.
Les chercheurs observent que la tâche planifiée échappe à la routine d’auto-destruction de l’implant. Cette routine efface les autres mécanismes de persistance. La tâche survit aux redémarrages système.
Source : ReliaQuest