Les chercheurs ont trouvé des preuves que la faille d’escalade du privilège CVE-2025-29824 patchée par Microsoft en avril était connue et utilisée par le gang de ransomware de jeu en plus d’un groupe que Microsoft a suivi comme Storm-2460.
Une vulnérabilité d’escalade du privilège que Microsoft a corrigé en tant que zéro-jour en avril était connue et utilisée par plus de groupes que prévu initialement, y compris le gang derrière le ransomware de jeu qui est entré dans un réseau via un pare-feu Cisco ASA.
Lorsque Microsoft a corrigé CVE-2025-29824 le 8 avril, la société a déclaré que la faille avait été exploitée contre un petit nombre de cibles par un groupe suivi comme Storm-2460 qui a déployé le malware Pipemagic puis le rançongiciel.
Maintenant, des chercheurs de Symantec de Broadcom ont trouvé des preuves qu’un groupe différent connu sous le nom de Balloonfly a également exploité la vulnérabilité avant son correction. BalloonFly est connu pour déployer le ransomware de jeu, également connu sous le nom de PlayCrypt depuis au moins juin 2022.
L’attaque, étudiée par Symantec, a impliqué une organisation aux États-Unis et les techniques et procédures utilisées étaient significativement différentes de celles rapportées par Microsoft pour Storm-2460.
« Bien que l’utilisation de vulnérabilités zéro-jour par des acteurs de ransomware soit rare, elle n’est pas sans précédent », ont déclaré les chercheurs dans leur rapport. «L’année dernière, Symantec a trouvé des preuves que les attaquants liés au ransomware Black Basta ont peut-être exploité une vulnérabilité d’escalade de privilège Windowge récemment corrigée (CVE-2024-26169) comme un jour zéro.»
Le nouveau CVE-2025-29824 est une mémoire d’usage après le pilote du système de fichiers journaux communs de Windows (CLFS.SYS) et son exploitation à partir d’un compte régulier et restreint peut entraîner l’exécution du code avec les privilèges système. Les défauts d’escalade des privilèges comme ceux-ci sont très utiles pour les attaquants pour obtenir un contrôle complet du système au stade post-compromis.
L’accès initial s’est produit via le pare-feu Cisco
Symantec a trouvé des preuves que les attaquants ont eu accès au réseau de la victime via un pare-feu Cisco ASA, puis ont pivoté sur une machine Windows. Les chercheurs n’ont pas révélé si cet accès a été réalisé en exploitant une vulnérabilité ou en utilisant des informations d’identification faibles ou compromises, mais des attaques zéro jour contre des dispositifs de bord de réseau tels que les pare-feu, les passerelles VPN et d’autres appareils de sécurité sont devenus très courants au cours des deux dernières années.
Même si la plupart de ces attaques zéro-jours sont le travail de groupes d’État-nations avec des ressources et un financement importants, une fois qu’une vulnérabilité est révélée et qu’un exploit devient disponible, d’autres types d’attaquants sont également susceptibles d’essayer de capitaliser dessus.
Les attaquants ont réussi à déployer un infoster
Dans cette attaque, le groupe Balloonfly n’a pas atteint le stade de déploiement des ransomwares de jeu, car c’est généralement l’une des dernières étapes où les attaquants ont le contrôle de parties importantes du réseau pour des dégâts maximaux. Cependant, le groupe a déployé un infosteller appelé Grixba qui fait généralement partie de son ensemble d’outils.
Grixba est un outil personnalisé écrit dans .NET qui est utilisé exclusivement par le gang de ransomware de Play en début de stades de leurs attaques pour recueillir des informations sur les systèmes compromis, leurs services configurés, processus, utilisateurs et logiciels qui les exécutent, y compris une large gamme de programmes de sécurité et de sauvegarde, d’outils d’administration à distance et plus encore.
En plus de Grixba, les attaquants ont également déployé d’autres outils au cours de cette attaque que les chercheurs de Symantec n’ont pas pu récupérer. Cependant, un aspect intéressant est que ces outils avaient des noms se faisant passer pour des logiciels de Palo Alto Networks – Paloaltoconfig.exe et Paloaltoconfig.dll.
Les attaquants ont également exécuté PowerShell ordonne de recueillir des informations sur d’autres systèmes dans Active Directory de l’organisation victime, une activité de reconnaissance qui est souvent antérieure à des tentatives de mouvement latéral.
Même s’ils n’ont pas pu récupérer toutes les charges utiles, les chercheurs de Symantec ont pu récupérer les noms et déposer des hachages pour la plupart d’entre eux, qui sont partagés dans le rapport comme indicateurs de compromis et peuvent être utilisés pour construire des détections et menacer les requêtes de chasse.
