🗓️ Contexte

Source : The Record Media, publié le 3 avril 2026. La CISA (Cybersecurity and Infrastructure Security Agency) a ordonné aux agences fédérales américaines de corriger CVE-2026-3502 avant le 16 avril 2026, confirmant l’exploitation active de cette vulnérabilité dans le logiciel de visioconférence TrueConf.

🎯 Campagne TrueChaos

Les chercheurs de Check Point Research ont documenté une campagne baptisée TrueChaos, attribuée à des acteurs chinois, active depuis début 2026 et ciblant des entités gouvernementales en Asie du Sud-Est. L’objectif présumé est l’espionnage.

🔍 Vulnérabilité exploitée

  • CVE-2026-3502 : score de sévérité 7.8/10
  • Affecte le mécanisme de validation du processus de mise à jour de TrueConf
  • Permet à un attaquant contrôlant un serveur TrueConf on-premises de distribuer et exécuter des fichiers arbitraires sur les endpoints connectés
  • Un correctif a été publié par TrueConf en mars 2026 après divulgation par Check Point

⚙️ Mode opératoire

  1. L’attaquant prend le contrôle d’un serveur TrueConf on-premises (opéré par un département IT gouvernemental)
  2. Le package de mise à jour légitime est remplacé par une version weaponisée
  3. Une invitation/lien est envoyé aux victimes, déclenchant le client TrueConf
  4. Une fausse invite de mise à jour s’affiche, incitant la victime à interagir
  5. Le client récupère le fichier malveillant via le canal de mise à jour normal
  6. Le serveur compromis desservait des dizaines d’entités gouvernementales, toutes exposées à la même mise à jour malveillante

🛠️ Outils utilisés

  • Havoc : framework de penetration testing abusé par les acteurs chinois
  • ShadowPad : malware caractéristique des acteurs chinois, observé sur les mêmes victimes

🏷️ Attribution

Check Point attribue la campagne à des acteurs chinois sur la base de :

  • Les tactiques employées
  • L’utilisation d’infrastructures Alibaba Cloud et Tencent
  • La présence du malware ShadowPad sur les victimes

📌 Type d’article

Article de presse spécialisée relayant une publication de recherche de Check Point et une alerte CISA, à visée informationnelle pour les équipes CTI et les administrateurs de systèmes TrueConf.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Chinese state-sponsored actors

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1072 — Software Deployment Tools (Execution)
  • T1036 — Masquerading (Defense Evasion)
  • T1105 — Ingress Tool Transfer (Command and Control)

IOC

Malware / Outils

  • Havoc (framework)
  • ShadowPad (backdoor)

🟡 Indice de vérification factuelle : 61/100 (moyenne)

  • ✅ therecord.media — source reconnue (liste interne) (20pts)
  • ✅ 3359 chars — texte complet (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Chinese state-sponsored actors (5pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://therecord.media/trueconf-cyberattack-cisa-hackers

🖴 Archive : https://web.archive.org/web/20260405144626/https://therecord.media/trueconf-cyberattack-cisa-hackers