Les affiliés du rançongiciel Anubis exploitent la faille Citrix Bleed 2 pour pénétrer les réseaux d'entreprises. Le groupe The Gentlemen arme une vulnérabilité zero-day logée dans un pilote pour désactiver des antivirus, et les rançongiciels Vect et TeamPCP mènent des attaques conjointes.

Selon un rapport publié cette semaine par Arctic Wolf, des affiliés du ransomware Anubis tirent parti de cette faille pour obtenir un accès initial aux systèmes touchés, aux côtés d'identifiants VPN volés - ©Pungu x / Shutterstock
Selon un rapport publié cette semaine par Arctic Wolf, des affiliés du ransomware Anubis tirent parti de cette faille pour obtenir un accès initial aux systèmes touchés, aux côtés d'identifiants VPN volés - ©Pungu x / Shutterstock

Il y a un peu plus d'un an, Citrix a révélé la faille Citrix Bleed 2, référencée CVE-2025-5777. Il suffisait alors d'envoyer une requête spécialement conçue au point d'authentification /p/u/doAuthentication.do des équipements NetScaler ADC et Gateway pour exploiter une variable de connexion non initialisée et récupérer, parfois, des jetons de session actifs. Selon un rapport publié cette semaine par Arctic Wolf, des affiliés du ransomware Anubis tirent parti de cette faille pour obtenir un accès initial aux systèmes touchés, aux côtés d'identifiants VPN volés. Les attaquants recourent ensuite à des outils d'administration à distance légitimes pour voler des données méthodiquement. Certains effacent même, de façon irréversible, les fichiers des victimes.

Les affiliés d'Anubis exploitent Citrix Bleed 2 pour pénétrer les réseaux

Le rançongiciel Anubis a émergé fin 2024, sous forme de reprise du malware Sphinx, avant une annonce officielle sur le forum clandestin RAMP en février 2025. Sur son site de fuite, le groupe revendique jusqu'à 83 victimes. Arctic Wolf a examiné plusieurs de ces intrusions depuis le début de l'année. Selon la plateforme Ransomware.Live, les affiliés d'Anubis frappent en priorité la santé, les services aux entreprises, l'industrie, la technologie et la finance. Plus de la moitié des victimes revendiquées opèrent aux États-Unis, devant le Royaume-Uni, l'Australie, la France et le Canada.

Une fois entrés dans le réseau, via Citrix Bleed 2 ou des identifiants VPN Cisco AnyConnect dérobés sur des hébergeurs comme The Constant Company et ServerMania, les attaquants prennent pied dans le système. Les affiliés déploient ensuite des outils de gestion à distance légitimes, comme ScreenConnect, Zoho Assist, MeshAgent ou UltraVNC, que les équipes de sécurité peinent à différencier d'une administration réseau normale. Dans un cas, l'installeur ScreenConnect provient d'un domaine nommé azuremicrosoft[.]us, conçu pour imiter les services Microsoft Azure. Pour se déplacer latéralement, les affiliés utilisent le protocole RDP et l'outil PsExec vers des serveurs qui hébergent des contrôleurs de domaine, des hyperviseurs ou des systèmes de sauvegarde.

Les attaquants s'introduisent dans un boîtier NAS Synology et créent un compte administrateur local. Le groupe établit ensuite un tunnel Cloudflare et un proxy SOCKS via SSH pour faire transiter ses échanges. Anubis déclenche le chiffrement moins d'une journée après la mise en place de ces accès. Pour exfiltrer les données, les affiliés recourent à des logiciels comme rclone, S3 Browser, s5cmd ou WinSCP.

Avant de chiffrer les fichiers, les affiliés désactivent la protection en temps réel de Windows Defender et suppriment les agents de sécurité Sophos. Anubis efface également les journaux système et supprime, une fois l'attaque terminée, le programme de chiffrement pour compliquer toute analyse ultérieure. Les affiliés réduisent certains fichiers à une taille de 0 Ko au moyen du module /WIPEMODE, même après le paiement de la rançon, selon un rapport publié par Rubrik Zero Labs en juillet 2025. Selon Rubrik Zero Labs, la part des sommes perçues reversée aux affiliés atteint 80 %, une répartition plus généreuse que la moyenne du secteur.

Le groupe The Gentlemen combine failles connues et identifiants volés ou faibles pour s'introduire chez ses cibles, avant de recourir à une porte dérobée écrite en langage Go pour exécuter des commandes à distance - ©Nathakorn Tedsaard / Shutterstock
Le groupe The Gentlemen combine failles connues et identifiants volés ou faibles pour s'introduire chez ses cibles, avant de recourir à une porte dérobée écrite en langage Go pour exécuter des commandes à distance - ©Nathakorn Tedsaard / Shutterstock

The Gentlemen et l'alliance Vect-TeamPCP élargissent l'arsenal des rançongiciels

Le groupe The Gentlemen combine failles connues et identifiants volés ou faibles pour s'introduire chez ses cibles, avant de recourir à une porte dérobée écrite en langage Go pour exécuter des commandes à distance. Kaspersky a analysé son fonctionnement dans un article publié sur le site Securelist. Après l'infection, les opérateurs collectent des informations système par l'intermédiaire de l'implant et les transmettent à un serveur distant via une connexion TCP bidirectionnelle. Le groupe exécute ensuite des commandes via cmd.exe ou active un proxy SOCKS, selon l'instruction envoyée.

Selon la société de cybersécurité Expel, The Gentlemen a également armé une vulnérabilité zero-day logée dans ktapi.sys, un pilote tiers développé par le fabricant Kontron. Le groupe obtient de cette manière un accès au niveau du noyau et désactive des processus de sécurité signés Microsoft, ESET, Palo Alto Networks et SentinelOne. Marcus Hutchins, chercheur chez Expel, a signalé que les attaquants désactivent des systèmes de sécurité récents en quelques secondes grâce à cette technique, même sur les versions de Windows les plus protégées.

Vect et TeamPCP associent, depuis un partenariat annoncé en mars, le vol d'identifiants issu d'attaques de chaîne d'approvisionnement et le déploiement de rançongiciels, rapporte la Sophos Counter Threat Unit. Grâce à cet accord, Vect peut désormais déployer son rançongiciel dans l'ensemble des organisations compromises lors des attaques qui ont touché les projets open source Trivy et LiteLLM.

Check Point et le cabinet JUMPSEC ont révélé un défaut technique dans le chiffreur de Vect. En raison de ce défaut, Vect détruit tout fichier supérieur à 128 Ko au lieu de le chiffrer. TeamPCP a réfuté avoir utilisé cet outil dans ses attaques et affirme posséder son propre chiffreur, CipherForce. Cette marque avait revendiqué six victimes en février, avant de migrer vers le site de fuite de TeamPCP en mai.

D'après la même source, des acteurs criminels moins expérimentés accèdent plus facilement à ce type d'attaques.

À découvrir
Meilleur antivirus : le comparatif en 2026
Comparatifs services