Un faux outil de surveillance à distance, soutenu par un service d’abonnement et un site Web utilisé pour en faire la promotion, est utilisé pour gérer les systèmes compromis.
Après avoir pénétré un système, les escrocs installent souvent des outils d’administration à distance légitimes pour garder un pied sur le réseau, avec le risque que le fournisseur de l’outil les repère et les verrouille. Ils disposent désormais d’une nouvelle option : un faux outil de surveillance et de gestion à distance (RMM), doté d’une vitrine en ligne sérieuse, conçue spécialement pour eux.
« TrustConnect », le malware-as-a-service (MaaS) repéré par les chercheurs de Proofpoint, dispose d’un site Web pour en faire la promotion et de toute l’infrastructure de support nécessaire pour gérer les machines compromises. Un abonnement à celui-ci est annoncé à 300 $ par mois.
Proofpoint a perturbé une partie de l’infrastructure du malware avec l’aide de partenaires de renseignement, a déclaré la société dans un article de blog : « Mais l’acteur a fait preuve de résilience, avec un autre faux site Web RMM identifié peu avant sa publication qui faisait la publicité d’un malware appelé DocConnect. »
Les chercheurs ont noté des liens entre l’opération TrustConnect et l’activité impliquant le voleur RedLine, sur la base des caractéristiques des logiciels malveillants et de leurs propres renseignements.
Ingénierie sociale pour un premier accès
Les victimes sont amenées à installer TrustConnect sous prétexte d’assistance à distance légitime, a déclaré Proofpoint. Plutôt que d’exploiter les vulnérabilités pour un déploiement silencieux, les attaquants dépendent de l’interaction de l’utilisateur pour exécuter le programme.
« Les acteurs de la menace qui distribuent TrustConnect ont utilisé une variété de thèmes leurres, notamment les taxes, le partage de documents, les invitations à des réunions, les événements et les thèmes gouvernementaux », ont écrit les chercheurs. Le MaaS propose à ses clients différents modèles en fonction des abus de marque envisagés : « À partir du 26 janvier, nous avons observé une campagne prétendant être des invitations à des offres et à un événement. Les messages ont été envoyés par des expéditeurs compromis et le corps du courrier électronique comprenait à la fois l’anglais et le français. »
Les attaquants ont également créé des exécutables signés qui usurpent l’identité des installateurs de logiciels largement utilisés tels que Zoom, Microsoft Teams, Adobe Reader et Google Meet, avec des icônes et des métadonnées correspondantes. Les victimes sont encouragées à les télécharger en cliquant sur un lien dans un e-mail, qui enregistre ensuite automatiquement les systèmes infectés dans le panneau de contrôle de l’opérateur sur le site Web de TrustConnect, faisant essentiellement de TrustConnect un cheval de Troie d’accès à distance (RAT).
Dans une campagne particulière tirant parti d’un seul expéditeur compromis, les leurres incluaient des URL menant à l’installation de ScreenConnect du 31 janvier au 1er février, puis le 3 février aux installations de TrustConnect et LogMeln Resolve.
Les attaquants utilisent un site Web à double objectif
Le site Web TrustConnect propose un langage marketing réaliste, des descriptions de fonctionnalités et une documentation qui servent à la fois de façade publique pour promouvoir le logiciel et de portail principal pour les clients qui achètent l’accès aux services malveillants de l’outil.
« Les cybercriminels doivent s’inscrire pour un « essai gratuit », être informés sur la façon de payer en crypto-monnaie, puis vérifier le paiement sur le portail TrustConnect », ont déclaré les chercheurs, ajoutant que les clients sont facturés 300 $ par mois pour un tableau de bord C2 basé sur le Web avec une liste des appareils sur lesquels le RAT est installé. Un abonnement permet d’exécuter des commandes, de transférer des fichiers et de se connecter à distance aux appareils infectés.
De plus, les abonnés reçoivent un fichier EXE téléchargeable qu’il est recommandé de télécharger sur leur propre hébergement pour un ciblage contrôlé et de meilleurs résultats.
Le domaine trustconnectsoftware(.)com a été créé le 12 janvier 2026.
« Le créateur du malware utilise (également) le domaine comme ‘site Web professionnel’ conçu pour convaincre le public (y compris les fournisseurs de certificats) que le logiciel est une application RMM légitime, fournissant de fausses informations telles que des statistiques client et de la documentation sur le logiciel », ont écrit les chercheurs de Proofpoint.
Proofpoint soupçonne l’acteur d’avoir utilisé des modèles de langage étendus (LLM) pour créer TrustConnect. Il a partagé une liste d’URL d’indicateurs pour soutenir les efforts de détection, avertissant que TrustConnect a le potentiel de devenir une campagne à part entière, désormais avec une variante plus avancée, DocConnect.
