Le groupe à motivation financière est actif depuis mai 2025, se faisant passer pour Fortinet, Ivanti, Cisco et d’autres fournisseurs pour voler les informations d’identification de l’entreprise.
Microsoft a averti les entreprises que le groupe cybercriminel Storm-2561 détournait les résultats des moteurs de recherche pour servir des clients VPN trojanisés, volant les informations d’identification de l’entreprise, puis bavant ses traces avant que les victimes ne soupçonnent que quelque chose ne va pas.
Le groupe place les sites Web usurpés en tête des résultats pour des requêtes telles que « téléchargement Pulse VPN » ou « client Pulse Secure », redirigeant les utilisateurs vers des logiciels malveillants signés numériquement hébergés sur GitHub, a déclaré Microsoft Threat Intelligence dans un avis. « Les techniques utilisées dans cette campagne mettent en évidence la manière dont les acteurs de la menace continuent d’exploiter les plateformes fiables et la marque des logiciels pour éviter les soupçons des utilisateurs et voler des informations sensibles », indique l’avis.
Les experts de Microsoft Defender ont détecté l’activité pour la première fois à la mi-janvier 2026, bien que l’acteur malveillant soit actif depuis mai 2025 et soit connu pour distribuer des logiciels malveillants via l’empoisonnement de l’optimisation des moteurs de recherche (SEO) et se faire passer pour des fournisseurs de logiciels d’entreprise populaires, indique l’avis.
La campagne intervient alors que les voleurs d’informations deviennent de plus en plus dangereux. Les chercheurs en sécurité ont noté que les voleurs d’informations sont de plus en plus associés à des chevaux de Troie d’accès à distance, offrant aux attaquants à la fois des informations d’identification volées et un accès persistant au réseau à partir d’une seule infection. La tempête 2561 suit précisément ce modèle.
À l’intérieur de la chaîne d’attaque
Microsoft a observé de fausses pages se faisant passer pour Fortinet, Ivanti, Cisco, SonicWall, Sophos, Checkpoint et WatchGuard, ainsi que deux domaines – et – hébergeant des fichiers ZIP malveillants sur GitHub, indique l’avis.
Le malware lui-même arrive sous forme de fichier ZIP contenant un package Windows Installer. Lorsqu’un utilisateur lance le programme d’installation téléchargé, il dépose une fausse application Pulse Secure dans un répertoire qui imite fidèlement un chemin d’installation légitime de Pulse Secure, a déclaré Microsoft.
« Ce chemin d’installation s’intègre à un logiciel VPN légitime pour paraître digne de confiance et éviter d’éveiller les soupçons des utilisateurs », indique l’avis. Le programme d’installation charge deux fichiers DLL malveillants à côté de la fausse application. L’un agit comme un chargeur en mémoire. L’autre, , est une variante de l’infostealer Hyrax. Il extrait les informations d’identification VPN et les données URI stockées et les exfiltre vers une infrastructure contrôlée par les attaquants, ajoute l’avis.
« Les fichiers ZIP malveillants contenant de faux fichiers d’installation sont hébergés sur des référentiels GitHub, qui ont depuis été supprimés », indique l’avis.
La méthode de diffusion ressemble beaucoup aux tactiques observées lors des campagnes récentes. En août 2025, des chercheurs d’Arctic Wolf ont découvert un logiciel malveillant GPUGate distribué via les référentiels GitHub et Google Ads, utilisant des charges utiles packagées MSI et l’exfiltration d’identifiants dans une chaîne de livraison presque identique, ce qui suggère que les acteurs de la menace convergent vers un manuel commun.
Certificats signés utilisés pour échapper à la détection
Le fichier MSI et les DLL malveillantes sont signés avec un certificat numérique valide de « Taiyuan Lihua Near Information Technology Co., Ltd. », a déclaré Microsoft. Cela permettait au malware de contourner les avertissements de sécurité Windows concernant le code non signé, de contourner potentiellement les politiques de liste blanche des applications et de réduire les alertes des outils axés sur les exécutables non signés.
Ce certificat a depuis été révoqué, ajoute l’avis.
Microsoft a identifié plusieurs fichiers supplémentaires signés avec le même certificat, tous se faisant passer pour des logiciels VPN provenant de différents fournisseurs.
Les attaquants brouillent les traces après le vol d’identifiants
Après les avoir capturés, le faux client affiche un message d’erreur indiquant que l’installation a échoué, indique l’avis. Il demande ensuite à l’utilisateur de télécharger le client VPN légitime à partir du site officiel du fournisseur. « Dans certains cas, ouvre le navigateur de l’utilisateur sur le site Web VPN légitime », a déclaré Microsoft. Si le vrai VPN s’installe et fonctionne comme prévu, la victime n’a aucune indication de compromission.
Storm-2561 établit également la persistance via la clé de registre Windows, garantissant que le malware s’exécute à chaque redémarrage, note l’avis. La stratégie de redirection post-identification élimine les anomalies comportementales qui pourraient autrement déclencher un examen de sécurité. Les campagnes d’empoisonnement SEO reposent depuis longtemps sur des erreurs d’orientation pour éviter de laisser des empreintes médico-légales. Storm-2561 va plus loin en redirigeant les victimes vers des logiciels légitimes après le vol, ne laissant aucune trace évidente de compromission.
Atténuations
Les organisations recommandées par Microsoft appliquent l’authentification multifacteur sur tous les comptes sans exception. Les informations d’identification de l’entreprise ne doivent pas être stockées dans des coffres-forts de mots de passe basés sur un navigateur et sécurisés par des informations d’identification personnelles. Les organisations doivent également désactiver la synchronisation des mots de passe du navigateur sur les appareils gérés via la stratégie de groupe, ajoute l’avis.
Du côté des points de terminaison, Microsoft a conseillé d’exécuter la détection et la réponse des points de terminaison en mode bloc et d’activer la protection réseau et la protection Web dans Microsoft Defender for Endpoint. « Encouragez les utilisateurs à utiliser Microsoft Edge et d’autres navigateurs Web prenant en charge SmartScreen, qui identifie et bloque les sites Web malveillants, notamment les sites de phishing, les sites frauduleux et les sites contenant des exploits et hébergeant des logiciels malveillants », indique l’avis.
