Selon Microsoft (Security Blog), Microsoft Defender Experts a identifié mi-janvier 2026 une campagne de vol d’identifiants attribuée à l’acteur cybercriminel Storm-2561, actif depuis mai 2025, qui abuse du SEO pour rediriger les utilisateurs vers de faux sites de téléchargement de VPN d’entreprise.

L’attaque repose sur du SEO poisoning menant à des sites usurpant des marques de VPN d’entreprise (Pulse Secure/Ivanti, Fortinet, Sophos, GlobalProtect, Check Point, Cisco, SonicWall, WatchGuard). Le téléchargement pointe vers un dépôt GitHub malveillant (désactivé depuis) hébergeant une archive ZIP contenant un MSI se faisant passer pour un installateur légitime. À l’exécution, le MSI installe des binaires dans un chemin imitant Pulse Secure (%CommonFiles%\Pulse Secure) et side‑load des DLL malveillantes (dwmapi.dll, inspector.dll).

Le binaire malveillant charge en mémoire un shellcode qui démarre inspector.dll, une variante de l’infostealer Hyrax, capable de collecter les identifiants VPN, l’URI et les données de configuration (dont C:\ProgramData\Pulse Secure\ConnectionStore\connectionstore.dat), puis d’exfiltrer le tout vers une infrastructure C2 (194.76.226[.]93:8080). Les composants sont signés numériquement avec un certificat légitime (depuis révoqué) de « Taiyuan Lihua Near Information Technology Co., Ltd. », renforçant la défense par l’usurpation de confiance (réduction des alertes liées aux binaires non signés, éventuels contournements de whitelisting).

Pour la persistance, le MSI ajoute Pulse.exe dans la clé RunOnce afin de s’exécuter au redémarrage. Côté évasion, après la soumission des identifiants, l’application affiche un faux message d’erreur et redirige l’utilisateur vers le site légitime pour installer le véritable client VPN, masquant les signes de compromission et attribuant l’échec à un simple problème technique. 🕵️‍♂️

Microsoft fournit des éléments de détection et de chasse dans Defender, notamment les détections Microsoft Defender Antivirus (Trojan:Win32/Malgent, TrojanSpy:Win64/Hyrax) et Microsoft Defender for Endpoint (ex. « An active ‘Malagent’ malware was blocked », « VPN launched from unusual location », « An executable file loaded an unexpected DLL file », « Anomaly detected in ASEP registry »), ainsi que des requêtes de hunting (ex. recherche de fichiers signés par « Taiyuan Lihua Near Information Technology Co., Ltd. » et de DLL suspectes dans des dossiers Pulse Secure).

IOCs principaux:

  • IP/C2: 194.76.226[.]93:8080 (exfiltration), 194.76.226[.]93
  • Domaines d’accès initial ou usurpés: vpn-fortinet[.]com, ivanti-vpn[.]org, checkpoint-vpn[.]com, cisco-secure-client[.]es, forticlient-for-mac[.]com, forticlient-vpn[.]de, forticlient-vpn[.]fr, forticlient-vpn[.]it, forticlient[.]ca, forticlient.co[.]uk, forticlient[.]no, fortinet-vpn[.]com, ivanti-secure-access[.]de, ivanti-pulsesecure[.]com, sonicwall-netextender[.]nl, sophos-connect[.]org, watchguard-vpn[.]com
  • Domaines C2 additionnels: vpn-connection[.]pro, myconnection[.]pro
  • URL malveillante: hxxps://github[.]com/latestver/vpn/releases/download/vpn-client2/VPN-CLIENT.zip
  • Hashes (SHA-256) observés: 57a50a1c04254df3db638e75a64d5dd3b0d6a460829192277e252dc0c157a62f (ZIP), 862f004679d3b142d9d2c729e78df716aeeda0c7a87a11324742a5a8eda9b557 (MSI), 6c9ab17a4aff2cdf408815ec120718f19f1a31c13fc5889167065d448a40dfe6 (DLL), 6129d717e4e3a6fb4681463e421a5603b640bc6173fb7ba45a41a881c79415ca (DLL), 85c4837e3337165d24c6690ca63a3274dfaaa03b2ddaca7f1d18b3b169c6aac1, 98f21b8fa426fc79aa82e28669faac9a9c7fce9b49d75bbec7b60167e21963c9, cfa4781ebfa5a8d68b233efb723dbde434ca70b2f76ff28127ecf13753bfe011, 26db3fd959f12a61d19d102c1a0fb5ee7ae3661fa2b301135cdb686298989179, 44906752f500b61d436411a121cab8d88edf614e1140a2d01474bd587a8d7ba8, eb8b81277c80eeb3c094d0a168533b07366e759a8671af8bfbe12d8bc87650c9

TTPs clés:

  • Initial access: SEO poisoning menant à des sites usurpant des marques de VPN; redirection vers GitHub pour la charge utile.
  • Execution/Defense evasion: MSI déguisé, DLL sideloading (dwmapi.dll, inspector.dll), installation dans un chemin mimant Pulse Secure.
  • Credential access/Collection: Faux UI de connexion VPN, lecture de connectionstore.dat, vol des identifiants VPN et des configurations.
  • Exfiltration: vers 194.76.226[.]93:8080 et domaines C2 indiqués.
  • Persistence: clé RunOnce.
  • Defense evasion: certificats de signature de code légitimes (révoqués), redirection vers le logiciel légitime après échec simulé.

Il s’agit d’une analyse de menace détaillée visant à documenter la chaîne d’attaque, les TTPs, les IOCs et les capacités de détection associées à Storm-2561.

🧠 TTPs et IOCs détectés

TTP

[‘Initial access: SEO poisoning menant à des sites usurpant des marques de VPN; redirection vers GitHub pour la charge utile.’, ‘Execution/Defense evasion: MSI déguisé, DLL sideloading (dwmapi.dll, inspector.dll), installation dans un chemin mimant Pulse Secure.’, ‘Credential access/Collection: Faux UI de connexion VPN, lecture de connectionstore.dat, vol des identifiants VPN et des configurations.’, ‘Exfiltration: vers 194.76.226[.]93:8080 et domaines C2 indiqués.’, ‘Persistence: clé RunOnce.’, ‘Defense evasion: certificats de signature de code légitimes (révoqués), redirection vers le logiciel légitime après échec simulé.’]

IOC

{‘hashes’: [‘57a50a1c04254df3db638e75a64d5dd3b0d6a460829192277e252dc0c157a62f’, ‘862f004679d3b142d9d2c729e78df716aeeda0c7a87a11324742a5a8eda9b557’, ‘6c9ab17a4aff2cdf408815ec120718f19f1a31c13fc5889167065d448a40dfe6’, ‘6129d717e4e3a6fb4681463e421a5603b640bc6173fb7ba45a41a881c79415ca’, ‘85c4837e3337165d24c6690ca63a3274dfaaa03b2ddaca7f1d18b3b169c6aac1’, ‘98f21b8fa426fc79aa82e28669faac9a9c7fce9b49d75bbec7b60167e21963c9’, ‘cfa4781ebfa5a8d68b233efb723dbde434ca70b2f76ff28127ecf13753bfe011’, ‘26db3fd959f12a61d19d102c1a0fb5ee7ae3661fa2b301135cdb686298989179’, ‘44906752f500b61d436411a121cab8d88edf614e1140a2d01474bd587a8d7ba8’, ’eb8b81277c80eeb3c094d0a168533b07366e759a8671af8bfbe12d8bc87650c9’], ‘domains’: [‘vpn-fortinet[.]com’, ‘ivanti-vpn[.]org’, ‘checkpoint-vpn[.]com’, ‘cisco-secure-client[.]es’, ‘forticlient-for-mac[.]com’, ‘forticlient-vpn[.]de’, ‘forticlient-vpn[.]fr’, ‘forticlient-vpn[.]it’, ‘forticlient[.]ca’, ‘forticlient.co[.]uk’, ‘forticlient[.]no’, ‘fortinet-vpn[.]com’, ‘ivanti-secure-access[.]de’, ‘ivanti-pulsesecure[.]com’, ‘sonicwall-netextender[.]nl’, ‘sophos-connect[.]org’, ‘watchguard-vpn[.]com’, ‘vpn-connection[.]pro’, ‘myconnection[.]pro’], ‘ip’: [‘194.76.226[.]93:8080’, ‘194.76.226[.]93’], ‘urls’: [‘hxxps://github[.]com/latestver/vpn/releases/download/vpn-client2/VPN-CLIENT.zip’]}

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/03/12/storm-2561-uses-seo-poisoning-to-distribute-fake-vpn-clients-for-credential-theft/