Une nouvelle campagne de piratage surveille l’application “Mobile Connecté” de Microsoft pour intercepter les données mobiles sensibles, telles que les SMS et les mots de passe à usage unique (OTP). Votre smartphone n’est même pas compromis, car les pirates opèrent depuis votre machine Windows.

Le duo : CloudZ RAT et son plugin Pheno

Un nouveau rapport publié par l’équipe de chercheurs de Cisco Talos évoque cette nouvelle campagne active depuis au moins janvier 2026. L’attaque s’articule autour de deux éléments :

• CloudZ RAT, une boîte à outils malveillante,
• Pheno, un plugin inconnu jusqu’ici.

Grâce à cet outillage, les cybercriminels peuvent surveiller et récolter les données synchronisées entre votre PC et votre smartphone, directement en ciblant Windows. Bien entendu, la synchronisation entre vos appareils doit être en place. Plus précisément, l’application Mobile connecté (qui a déjà changé de nom plusieurs fois) doit être configurée.

Cette application, qui synchronise un smartphone avec un PC Windows via Wi-Fi et Bluetooth, stocke localement les données au sein de bases de données SQLite. Ainsi, en surveillant les fichiers correspondants (), les pirates peuvent obtenir des informations sur les SMS, les notifications et le journal d’appels.

Si le logiciel malveillant détecte les processus liés à cette application, CloudZ RAT cherche à capturer et à exfiltrer les données des bases de données locales. Cette technique est redoutable pour contourner l’authentification multifacteurs, car l’attaquant peut mettre la main sur :

• Les SMS susceptibles de contenir des codes (si cette méthode est utilisées),
• Les codes OTP générés par les applications d’authentification.

“Talos a découvert que CloudZ, un RAT modulaire, est utilisé comme charge utile dans l’intrusion en cours. CloudZ est un exécutable .NET compilé le 13 janvier 2026 et obscurci à l’aide de l’outil ConfuserEx.”, peut-on lire dans le rapport.

La question de l’infection initiale

Pour compromettre les machines et obtenir un premier accès, l’équipe de Cisco Talos évoque l’utilisation d’un fichier malveillant se faisant passer pour une mise à jour de l’outil ScreenConnect. “Cet exécutable malveillant dépose et exécute un chargeur .NET intermédiaire, qui déploie ensuite le logiciel modulaire CloudZ sur l’ordinateur de la victime.”, peut-on lire.

CloudZ communique avec l’infrastructure de contrôle des attaquants (serveur C2) via des connexions TCP chiffrées et récupère des données de configuration supplémentaires en s’appuyant sur des services externes comme Pastebin.

Afin de garantir leur persistance sur le système infecté, les pirates s’appuient sur deux éléments clés :

• La création d’une tâche planifiée nommée .
• L’exécution de leur code malveillant via l’utilitaire Windows légitime .

En bref : évitez d’utiliser l’application Mobile connecté sur Windows. Elle est pratique (quand elle marche), mais elle offre aussi un accès aux données de votre smartphone. Les pirates l’ont bien compris ; la preuve. Sinon, préférez l’utilisation de token matériel ou des méthodes basées sur des notifications plutôt que des codes.