🔍 Contexte

Publié le 30 mars 2026 par Check Point Research, ce rapport détaille l’Opération TrueChaos, une campagne d’espionnage ciblée découverte début 2026. L’attaque exploite une vulnérabilité zero-day (CVE-2026-3502, CVSS 7.8) dans le client Windows de TrueConf, une plateforme de vidéoconférence déployée dans des environnements gouvernementaux, de défense et d’infrastructure critique.

🎯 Vecteur d’attaque

Les attaquants ont compromis un serveur TrueConf on-premises opéré par une organisation IT gouvernementale, puis ont remplacé une mise à jour légitime du client par une mise à jour malveillante. Le client TrueConf ne vérifiait pas suffisamment l’intégrité ou l’authenticité du paquet de mise à jour avant exécution, permettant ainsi :

  • La livraison de tout exécutable présenté comme une « mise à jour légitime »
  • L’exécution sans validation cryptographique robuste
  • Une infection silencieuse de tous les endpoints connectés au serveur compromis

🛠️ Chaîne d’infection

La mise à jour malveillante :

  1. Effectuait une mise à niveau valide du client pour éviter les soupçons
  2. Déposait des fichiers supplémentaires exploitant le DLL sideloading
  3. Activait des capacités de reconnaissance, d’escalade de privilèges, de persistance et de communication avec des serveurs C2 contrôlés par l’attaquant

Le payload final suspecté est Havoc, un framework de post-exploitation avancé.

🌐 Attribution et victimologie

  • Cibles : entités gouvernementales et affiliées en Asie du Sud-Est
  • Attribution : acteur à nexus chinois (confiance modérée), basée sur :
    • Infrastructure C2 liée à des activités chinoises connues
    • Chevauchement avec des frameworks malveillants liés à la Chine, dont ShadowPad
    • Utilisation de Havoc, associé à des opérations alignées sur des États

🔧 Correctif

Check Point Research a notifié le vendeur de manière responsable. Le correctif est inclus dans le client TrueConf Windows version 8.5.3, publiée en mars 2026. La version courante au moment de la publication est la 8.5.2.

📄 Type d’article

Il s’agit d’une publication de recherche par Check Point Research, visant à divulguer une vulnérabilité zero-day exploitée dans la nature, documenter la campagne associée et fournir des indicateurs techniques aux défenseurs.

🧠 TTPs et IOCs détectés

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1072 — Software Deployment Tools (Execution)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1543 — Create or Modify System Process (Persistence)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1082 — System Information Discovery (Discovery)

IOC

  • CVEs : CVE-2026-3502

Malware / Outils

  • Havoc (framework)
  • ShadowPad (rat)

🔗 Source originale : https://blog.checkpoint.com/research/when-trusted-software-updates-become-the-attack-vector-inside-operation-truechaos-and-a-new-zero-day-vulnerability-in-a-popular-collaboration-tool/