Dans un rapport publié par eSentire, leur Threat Response Unit (TRU) a découvert en juin 2025 une version backdoor du client SonicWall NetExtender, désignée sous le nom de SilentRoute par Microsoft. Cette version malveillante est presque identique au logiciel légitime, mais avec des modifications subtiles permettant l’exfiltration de données sensibles.
Le processus d’infection commence lorsque l’utilisateur télécharge le client NetExtender depuis un site frauduleux imitant la page officielle de SonicWall. Le fichier téléchargé, un installateur MSI signé nommé “SonicWall-NetExtender.msi”, utilise un certificat numérique frauduleux émis par GlobalSign, permettant de contourner la protection SmartScreen de Microsoft.
Les modifications apportées aux exécutables NEService.exe et NetExtender.exe permettent l’exfiltration des identifiants de connexion vers un serveur contrôlé par les attaquants à l’adresse 132.196.198[.]163 sur le port 8080. Les identifiants sont d’abord chiffrés via une fonction spécifique avant d’être envoyés.
eSentire recommande de changer immédiatement les mots de passe pour les utilisateurs affectés et de mettre en place des programmes de sensibilisation à la sécurité pour éviter de tels incidents à l’avenir. L’utilisation de solutions de détection et de réponse aux menaces est également conseillée.
Cet article est un analyse technique détaillant une attaque sophistiquée visant à compromettre des utilisateurs par le biais d’une version trojanisée d’un logiciel VPN populaire.
🔗 Source originale : https://www.esentire.com/blog/threat-actors-recompile-sonicwalls-netextender-to-include-silentroute-backdoor