🔍 Contexte

Publié le 19 avril 2026 par Huntress, cet article de threat intelligence documente une recrudescence d’incidents liés à l’exploitation de Bomgar RMM (rebaptisé BeyondTrust Remote Support), observée par le SOC Huntress depuis début avril 2026.

🛡️ Vulnérabilité exploitée

La faille CVE-2026-1731, de sévérité critique, permet à un attaquant non authentifié d’exécuter du code à distance sur des instances Bomgar. BeyondTrust a publié un correctif le 6 février 2026 (version 25.3.2 pour Remote Support, version 25.1 pour Privileged Remote Access). Les organisations impactées utilisaient des versions obsolètes, notamment la version 21.1.3.

📅 Chronologie des incidents

  • 12 février 2026 : premier pic d’exploitation, au moins 10 organisations impactées
  • 11 mars 2026 : incident probable avec dépôt d’un SimpleHelp RMM renommé (InputUpdate.exe)
  • 3 avril 2026 : installation de l’outil Atera via msiexec.exe depuis C:\PerfLogs\setup.msi
  • 5 avril 2026 : reconnaissance de domaine via nltest.exe, installation d’AnyDesk
  • 9 avril 2026 : note de rançon avec email lokbt9@onionmail[.]org
  • 12 avril 2026 : déploiement de LB3.exe, utilisation de drivers malveillants (PoisonX.sys, hrwfpdrv.sys), usage de HRSword.exe
  • 14 avril 2026 : ransomware déployé via un éditeur de logiciels dentaires, 3 entreprises en aval impactées
  • 15 avril 2026 : compromission d’un MSP, isolation de 78 entreprises, 4 clients en aval compromis

🎯 Secteurs et cibles

Les attaquants ont ciblé des MSP et des éditeurs de logiciels (secteur dentaire) pour atteindre leurs clients en aval, maximisant l’impact via la chaîne d’approvisionnement logicielle.

🧰 Tactiques, techniques et procédures (TTPs)

  • Exploitation de bomgar-scc.exe comme vecteur initial
  • Création de comptes locaux avec élévation vers Local Administrators et Domain Admins
    • Mots de passe observés : Adminpwd123.1, 123123qwEqwE
    • Compte abusé : WDAGUtilityAccount
  • Déploiement de RMMs supplémentaires : AnyDesk, Atera, ScreenConnect, SimpleHelp (renommé)
  • Reconnaissance réseau via NetScan et nltest.exe
  • Désactivation des outils de sécurité via BYOVD (PoisonX.sys / PoisonKiller, hrwfpdrv.sys) et HRSword.exe
  • Déploiement du ransomware LockBit 3.0 via LB3.exe (builder leaké en 2022 suspecté)
  • Tâche planifiée créée : AteraAgentServiceWatchdog

📌 Type d’article

Rapport d’incident à visée CTI, publié par le SOC Huntress pour documenter une campagne active d’exploitation de Bomgar RMM et partager les indicateurs de compromission associés.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1136.001 — Create Account: Local Account (Persistence)
  • T1078.002 — Valid Accounts: Domain Accounts (Privilege Escalation)
  • T1098 — Account Manipulation (Persistence)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1219 — Remote Access Software (Command and Control)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1018 — Remote System Discovery (Discovery)
  • T1482 — Domain Trust Discovery (Discovery)
  • T1570 — Lateral Tool Transfer (Lateral Movement)
  • T1036.003 — Masquerading: Rename System Utilities (Defense Evasion)

IOC

  • IPv4 : 146.70.41.131AbuseIPDB · VT · ThreatFox
  • Domaines : onionmail.orgVT · URLhaus · ThreatFox
  • SHA256 : 538b3b36dd8a30e721cc8dc579098e984cf8ed30b71d55303db45c7344f7a4cfVT · MalwareBazaar
  • SHA256 : 3529b1422da886b7d04555340dfb1efd44a625c2921af6df39819397176956d6VT · MalwareBazaar
  • SHA256 : bc9635dcc3444c18b447883c6bc1931e5373e48c7dbfaa607285a9fb668b03eaVT · MalwareBazaar
  • SHA256 : b44dd12179a15a7d89c18444d36e8d70b51d30c7989d3ab71330061401f731feVT · MalwareBazaar
  • SHA256 : a5035cbd6c31616288aa66d98e5a25441ee38651fb5f330676319f921bb816a4VT · MalwareBazaar
  • Emails : lokbt9@onionmail.org
  • CVEs : CVE-2026-1731NVD · CIRCL
  • Fichiers : LB3.exe
  • Fichiers : InputUpdate.exe
  • Fichiers : HRSword.exe
  • Fichiers : PoisonX.sys
  • Fichiers : hrwfpdrv.sys
  • Fichiers : setup.msi
  • Chemins : C:\Users\support\Documents\AnyDesk.exe
  • Chemins : C:\Program Files (x86)\ScreenConnect Client (0a42c9161c039ecc)\
  • Chemins : C:\Windows\System32\drivers\hrwfpdrv.sys
  • Chemins : C:\temp\PoisonX.sys
  • Chemins : C:\Windows\System32\msiexec.exe /i C:\PerfLogs\setup.msi
  • Chemins : c:\PerfLogs\InputUpdate.exe

Malware / Outils

  • LockBit 3.0 (ransomware)
  • AnyDesk (tool)
  • Atera (tool)
  • ScreenConnect (tool)
  • SimpleHelp (tool)
  • NetScan (tool)
  • HRSword (tool)
  • PoisonKiller (tool)

🟢 Indice de vérification factuelle : 92/100 (haute)

  • ✅ huntress.com — source reconnue (liste interne) (20pts)
  • ✅ 11087 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 21 IOCs dont des hashes (15pts)
  • ✅ 2/5 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 16 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : LockBit (5pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 3529b1422da886b7… (sha256) → VT (65/77 détections)
  • onionmail.org (domain) → VT (7/94 détections)

🔗 Source originale : https://www.huntress.com/blog/uptick-bomgar-exploitation