21 octobre 2025
Qu’est-ce qu’un cadre de commande et de contrôle (C2) ?
Les cadres de commandement et de contrôle (C2) sont utilisés à la fois par les équipes rouges et les cybercriminels. Ils offrent un large éventail de fonctionnalités et de capacités qui rendent les tactiques post-exploitation plus faciles et plus efficaces. En termes simples, un C2 agit comme un serveur central qui se connecte, communique avec et gère les systèmes compromis. Il établit la persistance et permet à l’opérateur de contrôler des dizaines de machines infectées à partir d’un environnement central.
Il existe de nombreuses raisons pour lesquelles les frameworks C2 sont populaires parmi les attaquants et les équipes rouges. La plupart des frameworks offrent aux opérateurs des fonctionnalités puissantes telles que l’élévation des privilèges, le pivotement du réseau, l’analyse et l’exfiltration de données. En fait, ils sont si utiles que les entreprises de cybersécurité ont développé leurs propres produits commerciaux C2 pour les engagements éthiques des équipes rouges. Cobalt Strike est souvent considéré comme le leader du secteur des opérations post-exploitation de qualité production en raison de son large éventail de fonctionnalités faciles à utiliser, rendant les engagements accessibles même aux opérateurs les moins techniquement qualifiés. Les options open source sont également largement disponibles, avec des frameworks comme Covenant, Sliver, Metasploit et bien d’autres téléchargeables gratuitement depuis GitHub.
Quel que soit le cadre, la furtivité est le facteur le plus critique, tant pour les équipes rouges éthiques que pour les cybercriminels. Les centres d’opérations de sécurité (SOC) surveillent en permanence le trafic et recherchent les paquets suspects circulant sur le réseau. Peu importe à quel point un produit C2 peut paraître raffiné, il est inutile s’il est détecté et bloqué. En plus de la surveillance interne, des équipes dédiées à la chasse aux menaces chez Microsoft, Google, Meta, Cisco, CrowdStrike, IBM et d’autres recherchent également des infrastructures malveillantes en dehors de leurs propres réseaux.
La sécurité dans l’obscurité
Les opérateurs de sécurité offensifs comprennent l’importance de masquer le trafic et de minimiser la détection. De gros efforts sont déployés pour garantir que les charges utiles sont livrées secrètement, que le trafic réseau est acheminé discrètement et que les frameworks C2 sont cachés derrière des sites Web d’apparence innocente. Ce besoin constant de dissimulation a conduit à plusieurs tactiques, techniques et procédures (TTP) dont les équipes bleues, les SOC et les dirigeants organisationnels devraient être conscients.
« Small Sieve », par exemple, utilise l’API du robot Telegram pour communiquer via HTTPS et relayer les commandes vers et depuis des serveurs C2 malveillants. Pour les défenseurs, ce trafic crypté HTTPS circulant sur le réseau de l’organisation peut sembler normal. Étant donné que Telegram n’est pas considéré comme un service malveillant, ce trafic pourrait facilement être ignoré par les équipes bleues et les analystes SOC.
Tout au long de l’année 2021, un groupe menaçant présumé soutenu par l’Iran, connu sous le nom de « Oil Rig », a mené une opération appelée « Outer Space » ciblant les organisations israéliennes. Pour dissimuler leur trafic malveillant, ils ont compromis un serveur de ressources humaines israélien et l’ont transformé en C2 dédié. Les opérations ultérieures semblent provenir de cette source fiable.
Cette technique ne se limite pas à dissimuler les serveurs C2. Lorsqu’une charge utile de première étape doit télécharger des logiciels malveillants supplémentaires, les acteurs malveillants hébergent souvent les charges utiles de deuxième étape sur des plateformes fiables qui sont moins susceptibles de déclencher des alarmes. Saint Bear, un acteur menaçant russe actif contre l’Ukraine et la Géorgie dès 2021, utilisait fréquemment le réseau de diffusion de contenu de Discord pour héberger des fichiers malveillants. Pour les défenseurs, ce trafic semblait provenir de Discord, ce qui rendait plus difficile la détection des systèmes de détection d’intrusion comme suspects.
Illicit Trade FR Vision : renseignements sur les menaces sur C2
La popularité et la notoriété de ces techniques C2 se sont étendues au-delà des acteurs étatiques et des attaquants avancés. Grâce à la plateforme Illicit Trade FR Vision, nous pouvons observer de multiples discussions soulignant l’importance de la furtivité dans les opérations C2.
Source : Vision Illicit Trade FR
Un utilisateur souligne la capacité du logiciel à « fonctionner secrètement, en employant des techniques furtives pour éviter la détection… et (éviter la détection par) les outils de surveillance de la sécurité du réseau ».
L’exemple suivant décrit un autre logiciel malveillant qui utilise Telegram comme plate-forme de commande et de contrôle pour la communication avec les machines infectées. Encore une fois, l’auteur se vante des « faibles taux de détection du logiciel en raison de ses techniques avancées d’obscurcissement ».
Source : Vision Illicit Trade FR
Conclusion : Cyber Chat et Souris
Pour les cyberdéfenseurs et les équipes bleues, il est essentiel de comprendre ces TTP. Dans certains cas, un analyste SOC peut identifier quelque chose de suspect dans un paquet Telegram par ailleurs inoffensif. Dans d’autres, les plateformes de détection et de réponse des points finaux peuvent être optimisées pour mieux reconnaître ce trafic malveillant. Plus important encore, la communauté de la cybersécurité doit accepter que ces TTP continueront d’évoluer vers des méthodes plus sophistiquées. Tout comme les équipes bleues se familiarisent avec la détection d’une technique, les équipes rouges adoptent une autre approche, moins connue, qui n’a pas encore été largement diffusée.
Des ressources telles que Attack.mitre.org sont inestimables pour prendre des empreintes digitales et comprendre les TTP auxquels une entreprise, une organisation ou un secteur peut être confronté lors d’un incident. Après une attaque, les enquêteurs et les cyber-experts publient souvent leurs conclusions, ce qui peut aider les futures cibles à se préparer à identifier et à contrecarrer des menaces similaires.
Dans ce blog, nous avons expliqué à quel point les frameworks C2 peuvent être puissants pour maintenir des opérations furtives pour les équipes rouges et les cybercriminels. Nous avons mis en évidence des exemples dans lesquels les menaces persistantes avancées (APT) exploitent des applications et des réseaux fiables pour dissimuler les activités post-exploitation. Le dark web reste une riche source de renseignements, où les forums et les forums de discussion fournissent des informations précieuses sur l’évolution des tendances et des techniques partagées. En fin de compte, pour garder une longueur d’avance dans ce jeu du chat et de la souris, les défenseurs doivent rester adaptatifs, vigilants et continuellement informés.
