Source: SmarterTools (communiqué de Derek Curtis). Contexte: retour d’expérience après une intrusion constatée le 29 janvier 2026, avec précisions sur l’impact, les correctifs SmarterMail et les comportements malveillants observés chez des clients.
SmarterTools indique qu’un serveur SmarterMail Windows non mis à jour (VM oubliée) a servi de point d’entrée, entraînant une intrusion réseau. La segmentation a limité l’impact: le site, la boutique et le portail clients n’ont pas été affectés; aucune application métier ni donnée de compte compromise. Des serveurs de lab/QC au data center ont été restaurés depuis une sauvegarde de 6 h par prudence.
Selon l’éditeur, environ 12 serveurs Windows paraissent compromis, tandis que les serveurs Linux n’ont pas été touchés. Les défenses (dont SentinelOne) ont bloqué la plupart des tentatives de chiffrement. En réponse, SmarterTools a coupé l’accès Internet et éteint les serveurs concernés, renouvelé les mots de passe, réduit l’usage de Windows et abandonné Active Directory.
Côté correctifs, SmarterTools rappelle que SmarterMail Build 9518 (15 janv. 2026) corrige les CVE annoncées, et Build 9526 (22 janv. 2026) apporte des améliorations complémentaires. L’éditeur affirme qu’à ce jour, aucune faille majeure connue n’affecte SmarterMail et annonce des efforts accrus de transparence et d’audits continus.
Attribution et TTPs: l’intrusion est attribuée au Warlock Group. Les acteurs attendent ~6–7 jours après l’implantation avant d’agir, tentent de prendre le contrôle d’Active Directory, créent de nouveaux utilisateurs, déploient des fichiers sur des machines Windows et cherchent à exécuter des payloads de chiffrement. Ils ciblent fréquemment des CVE dans SharePoint, Veeam et désormais SmarterMail; des vulnérabilités récentes dans des applications de confiance (ex. Notepad++) sont citées à titre d’illustration.
IOCs et TTPs observés
- Répertoires utilisés: Public, AppData, ProgramData, SmarterTools\SmarterMail
- Fichiers/Programmes: Velociraptor, JWRapper, Remote Access, SimpleHelp, WinRAR (anciennes versions vulnérables), Run.exe, Run.dll, main.exe, noms courts aléatoires (ex.
e0f8rM_0.ps1), fichiers .aspx aléatoires - Autres indicateurs: comptes locaux/admins inhabituels, éléments de démarrage suspects, tâches planifiées nouvellement créées ou modifiées
- TTPs: prise d’AD, création de comptes, mouvements latéraux Windows, persistance via tâches planifiées/démarrage, dwell time 6–7 jours, tentatives de chiffrement
Conclusion: article de type rapport d’incident décrivant l’intrusion, l’impact limité grâce à la segmentation, les correctifs disponibles et les comportements malveillants/indicateurs observés chez l’éditeur et ses clients.
🔗 Source originale : https://portal.smartertools.com/community/a97747/summary-of-smartertools-breach-and-smartermail-cves.aspx