L’entreprise de télécommunications minimise l’impact car l’acteur de menace divulgue des échantillons de données volées présumées et exige 200 000 $.
Colt Technology Services, un géant des télécommunications basé au Royaume-Uni reliant 900 centres de données en Europe, en Asie et en Amérique du Nord, a été touché par une cyberattaque qui a commencé le 12 août.
Initialement étiqueté un «problème technique» par la société, la perturbation est devenue une cyberattaque confirmée alors que Colt a supprimé les systèmes de support internes, y compris sa plate-forme en ligne et API vocale, dans le but de protéger son infrastructure client de base.
« Nous sommes vraiment désolés que certains de nos systèmes de support, y compris Colt Online et notre plateforme API Voice, continuent d’être indisponibles », a déclaré la société dans un communiqué. «Par précaution à la suite d’un cyber-incident affectant nos systèmes internes plus tôt cette semaine, nous avons temporairement pris ces services hors ligne.» Selon Colt, aucune de ses données client ou employée ne semble avoir été mal accessible.
Pendant ce temps, un acteur de menace qui prétend être affilié au gang de ransomware de démoniste et utilise l’alias «cnkjasdfgd» a publiquement revendiqué la responsabilité de la violation. Le groupe met en place un million de documents à vendre, contenant des détails sensibles tels que les dossiers financiers, les e-mails internes, les données des employés et des cadres et l’architecture du système.
Colt dit que le réseau central n’est pas touché
Dans leurs mises à jour publiques sur l’incident, Colt a insisté sur le fait que son infrastructure de réseau central reste intacte et que seuls les systèmes orientés en charge ont été pris hors ligne par précaution. La société a souligné qu’elle conserve toujours «la possibilité de surveiller les réseaux clients et de gérer efficacement les incidents», mais cela a dû être fait manuellement en raison des systèmes de surveillance automatisés hors commission.
Les experts en sécurité spéculent que l’attaque peut avoir été facilitée via une vulnérabilité récemment corrigée dans Microsoft SharePoint, CVE-2025-53770. Des chercheurs comme Kevin Beaumont ont suggéré que les attaquants pourraient avoir contourné les correctifs de sécurité SharePoint existants, potentiellement à l’aide d’une chaîne d’exploitation connue sous le nom de Fillet pour obtenir une exécution de code distante et installer des shells Web pour un accès plus approfondi.
« Colt est extorqué par Warlock Ransomware Group, ils sont depuis plus d’une semaine, Colt essaie de le couvrir », a écrit Beaumont sur Mastodon le vendredi 15 août. « Entrée probablement via Sharehelp.colt.net via CVE-2025-53770 alors qu’ils interagissaient avec cela. » Beaumont a ajouté que le groupe a volé quelques centaines de gigaoctets de données et de documentation clients, en publiant une liste de fichiers avec des échantillons sur un site Tor russe.
« Nous avons déjà vu cette année que les télécommunications sont particulièrement vulnérables aux attaques, et je pense que cette attaque de démoniste met en évidence certains problèmes récurrents que les télécommunications et les fournisseurs de services de réseau à grande échelle commencent à voir », a déclaré Gabrielle Hempel, stratège des opérations de sécurité chez Exabeam. «Il y a cet effet d’entraînement opérationnel lorsque vous êtes un fournisseur de services et que les services de couche de support diminuent. Même si COLT affirme que« l’infrastructure de réseau central »est toujours intacte, la panne de l’hébergement, du portage et des services d’API perturbe toujours la confiance des clients et les opérations en aval.»
Les données prétendument mises en vente
Le groupe Warlock aurait mis les documents présumés en vente sur le forum. Parallèlement à la demande de rançon de 200 000 $, ils ont fourni des exemples de documents comme preuve, ce qui pourrait être alarmé sur ce qui pourrait être exposé si Colt ne paie pas.
Le Trove comprendrait des dossiers financiers, des données salariales, des coordonnées des clients, des communications internes et des plans de développement de logiciels.
Dans les semaines qui ont suivi sa découverte, l’exploit de l’outil SharePoint a été armé dans une vague d’attaques croissante rapidement. Les victimes de haut niveau ont inclus la National Nuclear Security Administration américaine, les National Institutes of Health (NIH) et le Department of Homeland Security (DHS), toutes les attaques souffrant de Storm-2603 liée à la Chine, déploiement des ransomwares de sorcier.
Hempel a déclaré que l’incident fait remonter le focus sur les délais des patchs. «Un RCE SharePoint ou quelque chose de gravité similaire doit être mesuré en heures, pas des semaines, pour les systèmes accessibles à l’extérieur. Pour les fournisseurs d’infrastructures critiques, les pipelines de patch RCE doivent être prioritaires et automatisés dans la mesure du possible pour les services orientés sur Internet.» Notamment, Microsoft avait fourni un correctif incomplet au CVE-2025-53770 avant de sceller complètement la faille en juillet, ouvrant la voie aux exploits de masse entre les deux.
