Selon watchTowr Labs, une exploitation « in the wild » de CVE-2025-10035 visant Fortra GoAnywhere MFT est confirmée, en contradiction avec le récit du fournisseur. L’exploitation a débuté plusieurs jours avant l’avis public de l’éditeur.

⚠️ Le vecteur est une vulnérabilité de désérialisation pré-auth permettant une exécution de code à distance (RCE). Les attaquants ont ensuite mis en place des mécanismes de persistance et d’effacement de traces, illustrant une chaîne post-exploitation sophistiquée. Le billet souligne que les organisations doivent immédiatement évaluer un éventuel compromis et engager leurs protocoles d’intervention.

🛠️ TTPs observées (séquence d’attaque) :

  • Exploitation de la désérialisation pré-auth pour obtenir la RCE.
  • Création d’un compte système backdoor nommé « admin-go ».
  • Établissement d’un accès web user au sein de l’application.
  • Déploiement d’un implant secondaire « zato_be.exe ».
  • Nettoyage/effacement de traces via « jwunst.exe ».
  • Mise en place de persistance multiple au niveau système et applicatif, avec destruction d’artefacts.

🧪 IOCs (indicateurs) :

  • Compte système: « admin-go ».
  • Fichiers/implants: « zato_be.exe » (implant secondaire), « jwunst.exe » (outil de nettoyage).

Cet article est une analyse de menace et de recherche de vulnérabilité visant à documenter l’exploitation active, les techniques employées et les artefacts observables, avec une mise en garde temporelle sur la communication du fournisseur.

🧠 TTPs et IOCs détectés

TTPs

[‘Exploitation de la désérialisation pré-auth pour obtenir la RCE’, ‘Création d’un compte système backdoor’, ‘Établissement d’un accès web user’, ‘Déploiement d’un implant secondaire’, ‘Nettoyage/effacement de traces’, ‘Mise en place de persistance multiple’]

IOCs

[‘Compte système: admin-go’, ‘Fichiers/implants: zato_be.exe’, ‘Fichiers/implants: jwunst.exe’]

🔗 Source originale : https://labs.watchtowr.com/it-is-bad-exploitation-of-fortra-goanywhere-mft-cve-2025-10035-part-2/