Un nouveau zero-day menace les entreprises exploitant le logiciel VeraCore. Le groupe de pirates XE Group, d’origine vietnamienne, exploite une faille de sécurité critique pour déployer des web shells persistants. Cette méthode leur permet un accès à long terme aux systèmes ciblés, compromettant ainsi la sécurité des infrastructures. Retour sur cette campagne de cyberattaque qui met en péril les chaînes d’approvisionnement dans le secteur industriel.
Un groupe cybercriminel évoluant vers des attaques avancées
XE Group : de la fraude bancaire au cyberespionnage
Actif depuis au moins 2010, XE Group s’est initialement spécialisé dans le skimming de cartes bancaires. Les experts en cybersécurité d’Intezer et Solis Security ont observé un changement majeur dans leurs méthodes. Désormais, ces cybercriminels ciblent activement les chaînes d’approvisionnement des secteurs de la fabrication et de la distribution.
Une sophistication croissante des attaques
Contrairement à leurs attaques précédentes, qui exploitaient des failles déjà connues comme celles de Progress Telerik UI (CVE-2017-9248 et CVE-2019-18935), XE Group utilise désormais des vulnérabilités zero-day. Cette évolution témoigne d’une montée en compétence et d’un investissement accru dans la recherche de nouvelles failles exploitables.
Les failles exploitées dans VeraCore
Deux vulnérabilités critiques
- CVE-2024-57968 (Score CVSS : 9.9) : cette faille permet l’upload non restreint de fichiers dangereux par des utilisateurs authentifiés. Corrigée dans la version 2024.4.2.1.
- CVE-2025-25181 (Score CVSS : 5.8) : vulnérabilité de type injection SQL permettant l’exécution de commandes arbitraires. Aucun correctif n’est encore disponible.
Un accès persistant aux systèmes compromis
Les chercheurs constatent que ces deux failles sont combinées pour installer des web shells ASPXSpy. Cette technique leur permet d’exécuter des commandes à distance, d’exfiltrer des fichiers et même de compresser des données sensibles via des outils comme 7-Zip. De plus, un payload Meterpreter est injecté pour établir une connexion vers un serveur distant contrôlé par les attaquants.
Les web shells : une menace durable sur les réseaux
Des capacités avancées d’intrusion
Une fois déployé, le web shell offre divers outils permettant l’exploration du réseau, la modification de bases de données via des requêtes SQL et l’exécution de commandes système. Cette flexibilité permet aux acteurs malveillants d’adapter leur campagne d’attaque en fonction de leur objectif.
Un danger latent pour les entreprises
Les recherches montrent que les cybercriminels peuvent réactiver ces web shells longtemps après leur déploiement initial. Cela souligne la nécessité pour les entreprises de renforcer leur surveillance des systèmes et d’effectuer des audits de sécurité réguliers.
Autres failles activement exploitées
Nouvelle mise à jour du catalogue KEV de la CISA
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a récemment ajouté plusieurs failles critiques à son catalogue Known Exploited Vulnerabilities (KEV), confirmant leur exploitation active :
- CVE-2025-0411 : vulnérabilité affectant 7-Zip, utilisée pour contourner la protection « Mark of the Web ».
- CVE-2022-23748 : faille dans le processus de découverte de Dante, exploitée depuis 2022.
- CVE-2024-21413 : vulnérabilité affectant Microsoft Outlook, permettant l’exécution de code malveillant.
- CVE-2020-29574 : injection SQL ciblant CyberoamOS, exploitée par des cyberespions chinois.
- CVE-2020-15069 : dépassement de mémoire tampon dans Sophos XG Firewall, également exploité dans des campagnes d’espionnage.
Des cyberattaques menées par des groupes criminels
Selon Trend Micro, des cybercriminels russes exploitent activement CVE-2025-0411 pour diffuser SmokeLoader via du phishing ciblé contre des entités ukrainiennes. De leur côté, des groupes d’espionnage chinois utilisent CVE-2020-29574 et CVE-2020-15069 pour des infiltrations prolongées.
Face à ces menaces croissantes, il est essentiel pour les entreprises de renforcer leur cybersécurité. Nos experts chez CyberCare vous accompagnent dans la mise en place de solutions de détection des intrusions et d’analyse des vulnérabilités pour protéger vos infrastructures contre les cyberattaques.
