Plus de 20 000 salariés en Europe ont été ciblés par une vaste campagne de phishing entre juin et septembre, visant à subtiliser leurs identifiants Microsoft pour ensuite accéder à leur infrastructure cloud Azure. Cette opération, révélée par les chercheurs de l'équipe Unit 42 de Palo Alto Networks, a visé plusieurs entreprises du Vieux Continent, notamment en Allemagne et au Royaume-Uni. Elle a ciblé des sociétés spécialisées dans l'automobile, la chimie et la fabrication de composants industriels, expliquent les chercheurs dans leur rapport publié le 18 décembre.
Une fausse page d'identification Outlook
Pour piéger leurs victimes, les cybercriminels ont envoyé des e-mails contenant soit un fichier PDF compatible DocuSign compromis, soit un lien HTML intégré. Dans les deux cas, les utilisateurs étaient redirigés vers l'un des 17 formulaires gratuits de la plateforme CRM HubSpot. Personnalisables à souhait, ces formulaires servent traditionnellement à recueillir des données auprès de visiteurs d'une page web. Le recours à de faux fichiers DocuSign est particulièrement prisé des cybercriminels en raison du sentiment d'urgence créé pour signer un document.
Passé cette étape, les victimes étaient redirigées vers une seconde page, imitant une page de connexion Outlook Web App hébergée sur des serveurs dédiés virtuels (VPS) anonymes. Pour plus de crédibilité, les cybercriminels ont intégré les noms des sociétés ciblées sur l'adresse de la page, suivie de l'extension “.buzz”. Il suffisait alors à une victime de rentrer ses identifiants pour que ces derniers soient collectés par les pirates informatiques.
Les cybercriminels peuvent potentiellement modifier les ressources cloud
Les acteurs malveillants ont ensuite enregistré leurs propres appareils sur les comptes de leurs victimes pour pouvoir se connecter à leur infrastructure cloud sans déclencher d'alertes de sécurité. Ils ont également eu recours à des VPN pour se connecter dans le même pays que leurs cibles. En enregistrant leur appareil, les cybercriminels échappaient ainsi à toute tentative externe de reprise de contrôle du compte volé : ils n'avaient qu'à demander une réinitialisation du mot de passe, dont l'e-mail arriverait sur leur messagerie.
Une fois infiltrés dans l'environnement cloud de leur victime, les cybercriminels peuvent potentiellement gérer les accès, voire créer, modifier et supprimer des ressources. Les chercheurs de Palo Alto Networks ignorent le nombre d'utilisateurs ayant à la fois cliqué sur un lien ou fichier malveillant puis rentré leurs informations de connexion. Les auteurs de cette campagne de phishing n'ont pas été identifiés pour l'instant. En analysant l'architecture de l'attaque, les chercheurs d'Unit 42 ont néanmoins trouvé un nom de domaine utilisé par les cybercriminels, présentant une publication rédigée en russe et en ukrainien.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
