Selon news.sophos.com (équipe Sophos Counter Threat Unit), en août 2025 des chercheurs ont enquêté sur une intrusion au cours de laquelle un acteur a déployé l’outil DFIR open source Velociraptor pour orchestrer le téléchargement et l’exécution de Visual Studio Code en mode tunnel, avec communication vers un C2 hébergé sur Cloudflare Workers.
Dans cette intrusion, l’attaquant a utilisé l’utilitaire Windows msiexec pour récupérer un installateur (v2.msi) depuis un domaine Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev) servant de répertoire de staging où se trouvaient notamment l’outil de Cloudflare Tunneling et Radmin. Le MSI a installé Velociraptor, configuré pour communiquer avec le C2 velo[.]qaubctgg[.]workers[.]dev. L’attaquant a ensuite exécuté une commande PowerShell encodée pour télécharger Visual Studio Code (code.exe) depuis le même staging et l’a lancé avec l’option tunnel activée, avant d’installer code.exe comme service et de rediriger la sortie vers un fichier journal. Un second téléchargement via msiexec (sc.msi) depuis le dossier workers[.]dev a suivi.
L’activité de tunneling VS Code a déclenché une alerte Taegis™, menant à une investigation de Sophos. Les conseils de mitigation fournis ont permis l’isolation de l’hôte affecté, empêchant l’attaquant d’atteindre ses objectifs. L’analyse indique que cette chaîne d’actions aurait vraisemblablement abouti au déploiement d’un ransomware.
Le rapport souligne une évolution des abus d’outils légitimes : au-delà des RMM, les acteurs pivotent désormais vers des outils d’investigation/IR comme Velociraptor pour s’implanter discrètement et réduire l’empreinte malveillante. Sophos recommande de surveiller l’usage non autorisé de Velociraptor, de considérer ces observations comme un précurseur de ransomware, et évoque EDR, détection d’outils inattendus et bonnes pratiques de sauvegarde comme mesures de mitigation.
Détections Sophos mentionnées : Troj/Agent-BLMR, Troj/BatDl-PL, Troj/Mdrop-KDK.
• IOC(s)
- files[.]qaubctgg[.]workers[.]dev (domaine de staging)
- velo[.]qaubctgg[.]workers[.]dev (serveur C2)
• TTPs observées
- Abus d’outil DFIR Velociraptor pour orchestrer le déploiement
- Téléchargements via msiexec de paquets MSI (v2.msi, sc.msi)
- PowerShell encodé pour télécharger et exécuter code.exe
- Visual Studio Code en mode tunnel (accès distant / RCE potentiel) installé en service et journalisé
- Staging sur Cloudflare Workers et usage d’outils légitimes (Cloudflare Tunnel, Radmin)
- C2 via domaine workers[.]dev
Type d’article : rapport d’incident documentant une intrusion, ses TTPs et les indicateurs associés.
🔗 Source originale : https://news.sophos.com/en-us/2025/08/26/velociraptor-incident-response-tool-abused-for-remote-access/