Derrière cette offensive, des acteurs malveillants présumés russes exploitent de fausses pages reCAPTCHA hébergées sur ces plateformes pour exfiltrer identifiants, données systèmes et portefeuilles crypto. Observée depuis février 2025, cette opération illustre un dangereux tournant dans l’arsenal des cybercriminels, combinant ingénierie sociale et infrastructures de confiance. Cato Networks, leader du SASE, appelle à une vigilance renforcée.

Le mode opératoire est aussi ingénieux que dangereux. En se rendant sur ces fausses pages, les victimes sont incitées à copier une commande PowerShell intégrée dans leur presse-papiers, puis à l’exécuter manuellement via le raccourci Windows + R. Cette commande déclenche silencieusement l’exécution de mshta.exe, un binaire Windows légitime souvent détourné à des fins malveillantes, qui télécharge ensuite un fichier vidéo factice (sports.mp4) depuis une URL distante. Ce fichier camoufle en réalité le malware Lumma Stealer.
L’attaque repose sur des techniques connues sous le nom de LOLBins (Living Off the Land Binaries) qui exploitent des outils système autorisés pour éviter la détection. Plusieurs techniques répertoriées dans le référentiel MITRE ATT&CK ont été identifiées, notamment T1204.004 (exécution via copier-coller), T1218.005 (détournement de binaire signé), ou encore T1036.008 (déguisement de type de fichier).
Les analyses de code réalisées par Cato ont mis en évidence des commentaires en langue russe dans plusieurs échantillons, suggérant une origine russophone et une volonté de complexifier l’analyse des experts en cybersécurité. Les commentaires observés – tels que « code poubelle », « fonction leurre » ou encore « variable inutile » – renforcent l’hypothèse d’un code structuré pour tromper les analystes et ralentir les investigations.
La campagne s’est déroulée en plusieurs phases : d’abord via Tigris Object Storage en février, puis en mars à travers Oracle Cloud Infrastructure, et enfin en mai via Scaleway Object Storage. À chaque étape, le schéma d’attaque reste similaire, mais évolue pour contourner les systèmes de détection.
Cato Networks a contacté les fournisseurs concernés dès la fin mai 2025. Tigris a confirmé que l’échantillon signalé avait été supprimé. Scaleway a également accusé réception et assuré avoir pris les mesures nécessaires pour retirer les pages frauduleuses. Oracle, en revanche, n’avait pas encore répondu à la date de publication du rapport.
Face à cette menace, Cato Networks a déployé une règle IPS spécifique dans le cadre de son service de détection managée (MDR), bloquant proactivement les redirections vers ces fausses pages reCAPTCHA avant toute interaction de l’utilisateur. Tous les clients de Cato bénéficient ainsi d’une protection automatique contre cette variante de Lumma Stealer.
Selon l’équipe Cato CTRL, cette campagne illustre la manière dont les attaquants adaptent leurs techniques à l’écosystème technologique des entreprises, en misant sur la confiance accordée aux plateformes cloud et sur le comportement d’utilisateurs expérimentés. Cato souligne l’importance d’une collaboration continue entre les fournisseurs de services cloud et les équipes de recherche en cybersécurité pour limiter l’exploitation malveillante d’infrastructures légitimes.