Selon Cyber Security News, s’appuyant sur des observations de GreyNoise, une campagne de reconnaissance à grande échelle cible les services Microsoft RDP, en particulier RD Web Access et le client web RDP, avec plus de 30 000 adresses IP impliquées.
🚨 L’opération a débuté le 21 août 2025 avec près de 2 000 IPs puis a brusquement grimpé le 24 août à plus de 30 000 IPs utilisant des signatures client identiques, indiquant une infrastructure de botnet ou un outillage coordonné. Les chercheurs notent que 92 % de l’infrastructure de scan était déjà classée malveillante, avec un trafic source fortement concentré au Brésil (73 %), visant exclusivement des endpoints RDP basés aux États‑Unis. Sur les 1 971 hôtes initiaux, 1 851 partageaient des signatures client uniformes, suggérant un C2 centralisé typique d’opérations APT.
La méthodologie d’attaque met l’accent sur l’énumération d’authentification basée sur le temps (timing), exploitant de subtiles différences de latence de réponse pour identifier des noms d’utilisateur valides sans déclencher les mécanismes classiques de détection de brute force. Cette approche permet de constituer des listes cibles exhaustives en vue de credential stuffing et de password spraying, tout en restant discrète.
🎯 Le calendrier coïncide avec la période de rentrée aux États‑Unis, moment où le secteur éducatif déploie des environnements RDP pour les étudiants. Ces réseaux utilisent souvent des schémas de noms d’utilisateur prévisibles (IDs, prénom.nom), facilitant l’énumération. Les acteurs procèdent par reconnaissance multi‑étapes: identification des endpoints exposés, test des workflows d’authentification pour déceler des fuites d’information et constitution de bases de données de cibles valides.
Les mêmes infrastructures IP ont été vues en scans parallèles d’open proxies et en web crawling, suggérant un outillage polyvalent de reconnaissance. Une analyse historique citée indique qu’un pic de scans coordonnés contre une technologie donnée précède souvent la découverte ou l’exploitation de zero‑days sous six semaines, avec un taux de corrélation de 80 %. L’article évoque un risque de préparation à des déploiements de ransomware, à de la collecte massive d’identifiants ou à l’exploitation de vulnérabilités RDP inconnues. Il est recommandé aux organisations exploitant RDP d’appliquer des mesures de durcissement immédiates et de surveiller les signatures client identifiées. Il s’agit d’une analyse de menace visant à alerter sur une campagne de reconnaissance coordonnée de grande ampleur.
• Indicateurs observés (IOCs)
- Plus de 30 000 IPs actives dans la campagne (92 % déjà classées malveillantes)
- Forte concentration d’origine réseau au Brésil (73 %), ciblant des endpoints aux États‑Unis
- Signatures client uniformes sur une large part des hôtes de scan (1 851/1 971)
- Infrastructures également vues en scan d’open proxies et en web crawling
• Tactiques, techniques et procédures (TTPs)
- Énumération d’authentification basée sur le temps pour révéler des identifiants valides
- Reconnaissance multi‑étapes de RD Web Access et du RDP Web Client
- Préparation à du credential stuffing et du password spraying
- Utilisation d’un botnet/outillage coordonné avec C2 centralisé
- Ciblage opportuniste du secteur éducatif pendant la rentrée
🧠 TTPs et IOCs détectés
TTPs
[‘T1595.002 - Active Scanning: Vulnerability Scanning’, ‘T1589.001 - Gather Victim Identity Information: Credentials’, ‘T1589.002 - Gather Victim Identity Information: Email Addresses’, ‘T1589.003 - Gather Victim Identity Information: Employee Names’, ‘T1203 - Exploitation for Client Execution’, ‘T1078.001 - Valid Accounts: Default Accounts’, ‘T1110.001 - Brute Force: Password Guessing’, ‘T1110.003 - Brute Force: Password Spraying’, ‘T1059.001 - Command and Scripting Interpreter: PowerShell’, ‘T1071.001 - Application Layer Protocol: Web Protocols’, ‘T1090.002 - Proxy: External Proxy’, ‘T1021.001 - Remote Services: Remote Desktop Protocol’, ‘T1210 - Exploitation of Remote Services’]
IOCs
[‘Plus de 30 000 IPs actives dans la campagne’, ‘92 % déjà classées malveillantes’, ‘Forte concentration d’origine réseau au Brésil (73 %)’, ‘Signatures client uniformes sur une large part des hôtes de scan (1 851/1 971)’]
🔗 Source originale : https://cybersecuritynews.com/microsoft-remote-desktop-protocol-services/