Des attaquants détournent Velociraptor pour établir un tunnel VS Code via Cloudflare Workers
Selon news.sophos.com (Ă©quipe Sophos Counter Threat Unit), en aoĂ»t 2025 des chercheurs ont enquĂȘtĂ© sur une intrusion au cours de laquelle un acteur a dĂ©ployĂ© lâoutil DFIR open source Velociraptor pour orchestrer le tĂ©lĂ©chargement et lâexĂ©cution de Visual Studio Code en mode tunnel, avec communication vers un C2 hĂ©bergĂ© sur Cloudflare Workers. Dans cette intrusion, lâattaquant a utilisĂ© lâutilitaire Windows msiexec pour rĂ©cupĂ©rer un installateur (v2.msi) depuis un domaine Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev) servant de rĂ©pertoire de staging oĂč se trouvaient notamment lâoutil de Cloudflare Tunneling et Radmin. Le MSI a installĂ© Velociraptor, configurĂ© pour communiquer avec le C2 velo[.]qaubctgg[.]workers[.]dev. Lâattaquant a ensuite exĂ©cutĂ© une commande PowerShell encodĂ©e pour tĂ©lĂ©charger Visual Studio Code (code.exe) depuis le mĂȘme staging et lâa lancĂ© avec lâoption tunnel activĂ©e, avant dâinstaller code.exe comme service et de rediriger la sortie vers un fichier journal. Un second tĂ©lĂ©chargement via msiexec (sc.msi) depuis le dossier workers[.]dev a suivi. ...