Des attaquants détournent Velociraptor pour établir un tunnel VS Code via Cloudflare Workers
Selon news.sophos.com (équipe Sophos Counter Threat Unit), en août 2025 des chercheurs ont enquêté sur une intrusion au cours de laquelle un acteur a déployé l’outil DFIR open source Velociraptor pour orchestrer le téléchargement et l’exécution de Visual Studio Code en mode tunnel, avec communication vers un C2 hébergé sur Cloudflare Workers. Dans cette intrusion, l’attaquant a utilisé l’utilitaire Windows msiexec pour récupérer un installateur (v2.msi) depuis un domaine Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev) servant de répertoire de staging où se trouvaient notamment l’outil de Cloudflare Tunneling et Radmin. Le MSI a installé Velociraptor, configuré pour communiquer avec le C2 velo[.]qaubctgg[.]workers[.]dev. L’attaquant a ensuite exécuté une commande PowerShell encodée pour télécharger Visual Studio Code (code.exe) depuis le même staging et l’a lancé avec l’option tunnel activée, avant d’installer code.exe comme service et de rediriger la sortie vers un fichier journal. Un second téléchargement via msiexec (sc.msi) depuis le dossier workers[.]dev a suivi. ...