Des serveurs Windows exposés via RDP sont ciblés par Prometei, un botnet actif depuis plusieurs années. Une fois installé, le malware s’enregistre comme service système, vole des identifiants, mine de la cryptomonnaie et empêche d’autres groupes d’y accéder.
Alors qu’Aisuru monopolise l’attention avec ses attaques DDoS record, d’autres botnets poursuivent leurs activités sur des terrains moins visibles, mais tout aussi rentables, à l’image de Prometei. Documenté publiquement en 2020 et considéré par plusieurs analystes comme actif depuis au moins 2016, il a d’abord été associé au minage de cryptomonnaies avant d’étendre progressivement ses capacités au vol d’identifiants et au déploiement de charges supplémentaires. À intervalles réguliers, il refait surface dans les analyses des chercheurs, enrichi de nouveaux modules et adapté aux environnements qu’il cible. Début 2026, il a de nouveau été observé par les équipes d’eSentire, opérant sur un serveur Windows accessible via RDP et insuffisamment sécurisé.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une installation méthodique, pensée pour durer
L’analyse publiée par eSentire montre que l’accès initial s’est vraisemblablement fait par le biais d’un service RDP exposé, protégé par des identifiants trop faibles. Une fois la connexion établie, les opérateurs de Prometei exécutent une commande qui télécharge et prépare la charge principale. Le programme est alors copié dans le répertoire système, enregistré comme service Windows et configuré pour se lancer automatiquement à chaque redémarrage.
Cette persistance assurée, Prometei établit un premier contact avec son serveur de commande afin d’enregistrer la machine compromise et transmettre ses caractéristiques, notamment le nom d’hôte, la configuration matérielle, l’antivirus installé et les processus actifs. En parallèle, il ajuste les paramètres locaux en ajoutant des exclusions dans Microsoft Defender et en modifiant certaines règles du pare-feu pour garantir sa propre exécution.
La suite dépend du contexte. Prometei conserve sa fonction initiale de minage de cryptomonnaie, mais son architecture modulaire lui permet également de collecter des identifiants, de se déplacer au sein du réseau ou de déployer d’autres charges utiles. Dans le cas observé début 2026, les chercheurs ont également identifié un module chargé de surveiller les connexions afin de repérer les échecs d’authentification via RDP et de bloquer automatiquement les adresses IP correspondantes, probablement pour empêcher d’autres groupes malveillants d’exploiter la même machine. Une manière pour Prometei de sécuriser le serveur à son profit et d’en conserver un accès exclusif.
Des fondamentaux encore trop souvent négligés
Ce type d’intrusion ne révèle pas de technique nouvelle, mais plutôt des pratiques de sécurité incomplètes, parfois relâchées avec le temps.
Par conséquent, si vous gérez des environnements accessibles à distance, limitez autant que possible l’exposition des services d’administration, désactivez ceux qui ne sont pas indispensables, imposez une authentification forte, fixez un seuil de tentatives autorisées et bannissez les identifiants réutilisés.
La vigilance doit également porter sur les signaux internes. Un nouveau service système, une exclusion ajoutée dans un antivirus ou une connexion sortante vers une adresse inhabituelle doivent pouvoir être identifiés rapidement. Activez la journalisation, centralisez les logs et assurez-vous qu’ils sont réellement consultés. Sans suivi régulier des événements système, ces modifications passent facilement inaperçues et l’infection peut progresser.
Enfin, cloisonnez les environnements. Séparez les serveurs d’administration des postes utilisateurs et appliquez le principe du moindre privilège afin d’empêcher les rebonds d’une machine à l’autre en cas d’intrusion.
Source : eSentire
