Le groupe de pirates Scattered Spider a intensifié ses attaques contre les infrastructures virtualisées avec VMware ESXi et vSphere vCenter. Sans exploiter la moindre vulnérabilité, ils parviennent à compromettre les serveurs des organisations et à chiffrer les machines virtuelles avec un ransomware. Voici ce que l’on sait.

Une chaîne d’attaque redoutable basée sur l’ingénierie sociale

Le groupe Scattered Spider (aussi connu sous les noms d’UNC3944 ou Octo Tempest) est spécialisé dans l’ingénierie sociale, et cette nouvelle campagne d’attaques prenant pour cible les hyperviseurs VMware ESXi en est un excellent exemple. Leur technique, bien rodée, ne repose pas sur l’exploitation de vulnérabilités, mais plutôt sur la manipulation humaine.

“Au milieu de l’année 2025, Google Threat Intelligence Group (GTIG) a identifié une campagne de cyberattaque sophistiquée et agressive ciblant plusieurs secteurs, notamment le commerce de détail, les compagnies aériennes et les assurances.“, précise le rapport des chercheurs en sécurité de Google Threat Intelligence Group.

Tout commence par un appel au support informatique. L’attaquant se fait passer pour un employé et persuade l’agent du help desk de réinitialiser son mot de passe Active Directory. Cette première étape représente l’accès initial. Ensuite, les pirates effectuent un scan sur le réseau à la recherche d’informations sensibles : documentation interne, noms d’administrateurs VMware vSphere, nom du domaine Active Directory, ou encore solutions de gestion des accès à privilèges (PAM). L’objectif pour l’attaquant étant de pouvoir élever ses privilèges.

“Il s’agit non seulement des noms des administrateurs de domaine ou de vSphere, mais aussi de la découverte de groupes de sécurité Active Directory puissants et clairement nommés, tels que “vSphere Admins” ou “ESX Admins”, qui accordent des droits d’administration sur l’environnement virtuel.“, précisent les chercheurs. En effet, ces groupes de sécurité sont dangereux et bien connus des attaquants.

Grâce à ces nouveaux privilèges, les attaquants accèdent au serveur VMware vCenter : la tour de contrôle de l’environnement virtuel, donnant un accès à l’ensemble des serveurs VMware ESXi. De là, ils peuvent effectuer d’autres actions, comme l’activation de l’accès SSH sur les hôtes ESXi et une attaque “disk-swap” sur une machine virtuelle Active Directory.

Cette attaque consiste à atteindre une machine virtuelle critique, comme un contrôleur de domaine AD, détacher son disque virtuel pour le monter sur une autre machine virtuelle sous le contrôle des attaquants. Ils copient alors les données sensibles, notamment la base de données Active Directory , avant de remonter le disque et de redémarrer la machine d’origine comme si de rien n’était…

Pour aller encore plus loin, les attaquants sabotent les sauvegardes et suppriment les snapshots sur les machines virtuelles. Une fois ce nettoyage effectué, la dernière étape de l’attaque est déclenchée : chiffrer l’ensemble des machines virtuelles.

“Alors que les acteurs traditionnels peuvent disposer d’un temps de reconnaissance de plusieurs jours, voire de plusieurs semaines, UNC3944 opère avec une extrême rapidité ; l’ensemble de la chaîne d’attaque, de l’accès initial à l’exfiltration des données et au déploiement final du ransomware, peut se dérouler en quelques heures seulement.“, alertent les chercheurs dans leur rapport.

Les contre-mesures recommandées

Face à cette menace, Google a publié une série de recommandations pour aider les organisations à se défendre, mais aussi à détecter l’attaque. Pour identifier l’intrusion dès le début, les chercheurs de Google appellent à surveiller les activités suivantes :

• Exécution de commandes à distance suspectes : activez la journalisation des processus (Sysmon) et générez une alerte lorsqu’un processus distant comme exécute des outils système (ex. : ) pour modifier des groupes sensibles. Ce type de commande peut être utilisé pour ajouter un utilisateur à un groupe sensible comme “ESX Admins”.

• Modification des groupes sensibles : déclenchez des alertes sur les événements AD ID 4728 (ajout à un groupe global) et 4732 (ajout à un groupe local) concernant des groupes comme “vSphere Admins” ou “ESX Admins”.

• Accès anormal à des fichiers : surveillez un utilisateur accédant à un grand nombre de fichiers ou sites SharePoint variés : cela peut signaler une phase de reconnaissance.

• Activité critique sur comptes Tier 0 : toute réinitialisation de mot de passe pour un compte Tier 0 (Domain Admin, Enterprise Admin, vSphere) doit être traitée comme un incident critique, sauf preuve contraire. D’ailleurs, la réinitialisation d’un mot de passe sur un compte aussi sensible ne doit jamais se faire par téléphone.

En complément, plusieurs recommandations sont proposées pour se défendre, parmi lesquelles :

• Renforcer la sécurité de vSphere : activez le mode (bloquez les VIB non approuvé), chiffrez les machines virtuelles pour bloquer les “disk swap” et désactivez SSH par défaut. Évitez de joindre les hôtes ESXi directement à l’Active Directory.

• Renforcer l’authentification et l’isolation : déployez une authentification MFA résistante au phishing sur tous les accès (VPN, AD, vCenter). Isolez les actifs de du Tier 0.

• Surveiller et préparer la reprise d’activité : centralisez les journaux dans un SIEM et créez des alertes pour les comportements suspects. Utilisez des sauvegardes immuables et “air-gapped” (déconnectées du réseau) et testez régulièrement votre plan de reprise notamment dans le contexte de la compromission de l’infrastructure virtualisée.

Cette campagne menée par Scattered Spider rappelle que le maillon faible reste l’humain.

Source