Un faux « admin système » sur Microsoft Teams déploie le malware EtherRAT

Actu Cybersécurité

Un faux « admin système » sur Microsoft Teams déploie le malware EtherRAT

Trois étapes. Un appel Microsoft Teams de votre administrateur système. Une prise en main à distance présentée comme une action du support. Et, au bout de la chaîne, un cheval de Troie qui pilote votre machine. Selon un rapport de l’équipe Unit 42 de Palo Alto Networks, une campagne de social engineering cible actuellement les utilisateurs pour installer le malware EtherRAT. Voici ce que l’on sait sur cette menace.

De l’e-mail piégé à l’appel Teams : un scénario bien rodé

L’attaque commence par un grand classique du phishing. La victime reçoit un e-mail au format HTML jouant sur le thème d’un sondage interne, accompagné d’un PDF piégé baptisé EE Survey – How to log on.pdf. Il est destiné à être ouvert avec le lecteur PDF présent sur l’ordinateur.

Peu après avoir reçu l’e-mail, la victime reçoit un appel vocal sur Microsoft Teams. À l’autre bout du fil, un compte externe usurpe l’identité d’un administrateur système de l’entreprise. D’après Unit 42, l’appel Teams a bien été identifié comme un appel externe, notamment parce que la mention “Externe et inconnu” s’affichait bien dans le client Teams.

“Les journaux d’audit de Microsoft Teams confirment que l’auteur de l’attaque a lancé une conversation One-to-One inter-tenants depuis le compte (nom d’affichage « Administrateur système »), contrôlé par l’attaquant, à destination de la victime.”, précise le rapport.

L’objectif de cet appel : obtenir la confiance de la victime et prendre le contrôle de la machine grâce à la fonction de partage d’écran intégrée à Teams. C’est là que tout bascule. L’utilisateur est ensuite guidé pour installer de véritables outils de prise en main à distance (RMM), en l’occurrence HopToDesk et AnyDesk, afin d’assurer une présence persistante à l’attaquant, notamment lorsque l’appel sera terminé. Unit 42 note même que l’attaquant a poussé le vice jusqu’à ouvrir le portail ServiceNow de l’entreprise pour y créer un ticket de support, donnant à l’intrusion des allures d’assistance légitime.

Un faux appel sur Teams, cela peut surprendre, et pourtant cela n’a rien d’inédit : j’en ai déjà parlé à plusieurs reprises, notamment avec le malware Matanbuchus, lui aussi diffusé par de faux appels du support IT sur Microsoft Teams, ou encore avec le gang de ransomware Black Basta qui usurpait le service informatique sur Teams.

EtherRAT : un C2 caché dans la blockchain Ethereum

Une fois qu’il a pris le contrôle de l’ordinateur, l’attaquant passe à l’étape suivante. Il utilise alors une invite de commandes et pour télécharger un installeur MSI malveillant, , hébergé sur le domaine .

Ce fichier n’est pas une simple charge, mais un chargeur multi-étapes. Selon Unit 42, il déroule la séquence suivante :

  • Téléchargement d’un runtime Node.js légitime (version ), ce dernier est présent sur de plus en plus de machines, notamment lorsque Claude y est présent.
  • Déchiffrement de plusieurs charges embarquées via une chaîne de chiffrement en plusieurs passes.
  • Exécution finale du malware EtherRAT.

EtherRAT est un cheval de Troie d’accès à distance (RAT) qui donne à l’attaquant un contrôle complet du système compromis : exécution de commandes, manipulation de fichiers, vol de données et mise en place de la persistance via le Registre (avec une clé de registre : ). La problématique avec EtherRAT, c’est que les adresses des serveurs C2 ne sont pas codées en dur dans le malware. En réalité, il se connecte sur la blockchain Ethereum pour récupérer l’adresse de son C2 actif, avec un serveur de repli en cas de besoin (qui lui est codé en dur : ). Du côté des défenseurs, neutraliser un domaine ne suffira pas.

Cette campagne serait toujours active puisque les dernières mises à jour sur l’infrastructure des attaquants remontent au 26 juin 2026.

De son côté, Microsoft Teams se renforce

Cette campagne rejoint la catégorie des séries d’attaques qui détournent Microsoft Teams pour s’introduire dans les réseaux d’entreprise. C’est une méthode utilisée depuis des mois, et Microsoft a décidé de réagir face à cette tendance. Pour cela, plusieurs mesures de protection sont introduites progressivement dans Microsoft Teams. La firme de Redmond a d’ailleurs déployé une protection anti-phishing signalant les interlocuteurs et messages externes. Plus récemment, une nouvelle stratégie d’administration place automatiquement les bots tiers suspects dans la salle d’attente des réunions, en attendant une approbation manuelle par l’organisateur. Mais ce second point ne s’applique pas ici puisqu’il est question d’appel en 1-1.

Côté défense, quelques réflexes limitent le risque. Puisque ces attaques reposent sur des outils de contrôle à distance, il est utile de savoir comment et pourquoi désactiver l’Assistance rapide sur Windows 11, et même les outils de prise en main à distance que vous n’utilisez pas d’une façon générale. Un rapport de CrowdStrike publié fin 2025 évoquait d’ailleurs que l’ingénierie sociale et le vishing dépassaient les malwares comme porte d’entrée : la sensibilisation des équipes reste la meilleure parade face à ces menaces.

SOURCE