Proofpoint a identifié fin janvier 2026 un malware-as-a-service inédit baptisé TrustConnect, un maliciel d’accès distant (RAT) commercialisé 300 dollars par mois, dissimulé derrière un faux site d’outil RMM doté d’un certificat Extended Validation, distribué simultanément par plusieurs acteurs cybercriminels via des campagnes email multilingues, et déjà reconstitué sous une nouvelle identité — DocConnect — moins de 24 heures après la neutralisation de son infrastructure C2.
Dans l’écosystème des menaces, l’abus d’outils RMM (Remote monitoring and management) légitimes — SimpleHelp, ScreenConnect, LogMeIn — constitue depuis plusieurs années un vecteur d’accès initial privilégié. TrustConnect marque une rupture dans ce schéma : l’acteur n’a pas détourné un outil existant, il a conçu de toutes pièces un faux logiciel de télégestion, accompagné d’un site vitrine généré par LLM, de statistiques clients fictives et d’une documentation technique simulée, pour commercialiser directement un cheval de Troie d’accès distant sous couverture d’un éditeur RMM. Le domaine trustconnectsoftware.com a été enregistré le 12 janvier 2026. Dès le 27 janvier, corrélant avec l’obtention d’un certificat EV au nom de « TrustConnect Software PTY LTD », plusieurs acteurs distincts distribuaient le RAT (Remote access trojan) via des campagnes de courriels en anglais et en français.
L’acquisition d’un certificat Extended Validation constitue l’élément technique central de la stratégie d’évasion de TrustConnect. Ces certificats, délivrés après validation approfondie de l’entité demandeuse, coûtent plusieurs milliers de dollars et confèrent un niveau de confiance élevé aux yeux des solutions de sécurité basées sur les signatures numériques. En signant chaque exécutable malveillant avec ce certificat valide à partir du 27 janvier 2026, l’acteur rendait les fichiers indétectables par les contrôles classiques de réputation et de signature. Chaque client du MaaS disposait a minima de huit exécutables distincts, chacun signé avec les métadonnées de la marque usurpée, générant autant de hachages différents et compliquant les détections par empreinte.
Contrôle total via WebSocket non authentifié
En collaboration avec The Cert Graveyard, Proofpoint a obtenu la révocation du certificat EV le 6 février 2026. Cependant, la révocation n’étant pas rétroactive, les fichiers déjà signés avant cette date conservaient leur validité. L’acteur a cessé d’accepter de nouveaux abonnés à cette date, mais les clients actifs pouvaient continuer à distribuer leurs charges utiles. Ce mécanisme illustre une limite structurelle des PKI actuelles face aux détournements post-émission : la révocation intervient après diffusion, non avant.
Par ailleurs, le panneau C2 proposait un script PowerShell one-liner permettant l’installation silencieuse du RAT, compatible avec les attaques de type ClickFix. Cette capacité de déploiement multivecteur — email, script en ligne, exécutable signé — élargissait significativement la surface d’attaque exploitable par les clients du MaaS.
Les capacités d’administration à distance de TrustConnect couvrent l’ensemble du spectre nécessaire à une compromission post-accès initial. Le tableau de bord C2 permet l’exécution de commandes arbitraires, le transfert de fichiers, la navigation dans l’arborescence système, et l’activation d’une session RDP. Ce flux d’écran est transmis via WebSocket non authentifié — vecteur particulièrement problématique, car il expose les sessions à toute entité capable d’intercepter le trafic réseau entre l’agent et le C2. La session RDP inclut le contrôle complet souris/clavier, la capture d’écran en continu, le contournement UAC, et la capacité de masquer l’activité de l’opérateur à la victime.
Plusieurs acteurs opéraient sur le même MaaS
Proofpoint a observé le déploiement de ScreenConnect comme charge utile de second stade à partir de neuf instances auto-hébergées distinctes, toutes présentant des certificats expirés ou révoqués, sur une fenêtre de dix jours. L’activité hands-on-keyboard intervenait dans les minutes suivant l’installation de TrustConnect, confirmant que plusieurs acteurs indépendants opéraient simultanément sur le même MaaS. Un outil RMM commercial (Level RMM) a également été déployé via un compte compromis — compte désactivé par l’éditeur après signalement par Proofpoint.
Le journal d’audit intégré au C2 enregistre en temps réel l’ensemble des actions — enregistrement, déploiement, commandes exécutées — sans option de purge disponible pour le client. Cette absence de fonctionnalité d’effacement des logs constitue une exposition forensique pour les opérateurs, mais représente aussi une source de données exploitable par les équipes de réponse à incident lors d’une compromission identifiée.
Liens établis avec un client VIP de Redline
L’attribution de TrustConnect repose sur plusieurs éléments convergents. Le handle Telegram @zacchyy09, utilisé comme canal de support et de vente par le MaaS, figure dans les données publiées lors d’Operation Magnus — l’opération conjointe menée en octobre 2024 par la Police nationale néerlandaise contre les infrastructures de Redline et META stealers — comme appartenant à un client VIP de Redline. Proofpoint évalue avec un niveau de confiance modéré que l’opérateur de TrustConnect était également client du stealer Redline avant son démantèlement.
Cette connexion illustre un phénomène documenté par Proofpoint : les disruptions successives de MaaS établis — Redline, Lumma Stealer, Rhadamanthys — créent des opportunités de marché pour de nouveaux opérateurs. Les acteurs déplacés migrent vers des outils alternatifs ou, comme dans ce cas, deviennent eux-mêmes créateurs de MaaS. Le positionnement à 300 dollars par mois en cryptomonnaie (Bitcoin ou USDT), avec vérification automatisée des transactions sur la blockchain, cible explicitement une clientèle cybercriminelle habituée aux modèles par abonnement.
La vitesse de reconstitution de l’infrastructure après neutralisation confirme la résilience opérationnelle de l’acteur. DocConnect, le successeur identifié, adopte une architecture React SPA adossée à Supabase, intègre SignalR en remplacement des WebSockets bruts, et permet d’inclure des leurres PDF directement dans l’installeur. Proofpoint note que les deux plateformes présentent des artefacts stylistiques caractéristiques d’un développement assisté par agent IA — DocConnect affichant une sophistication technique nettement supérieure à TrustConnect en quelques semaines seulement.
Identités exposées malgré l’anonymisation apparente
La conception du MaaS TrustConnect révèle une contradiction structurelle entre la promesse d’anonymat faite aux clients et les données effectivement collectées par la plateforme. Chaque opérateur est identifié par une adresse email en clair, un nom d’organisation, un UUID interne, et un token d’installation unique embarqué dans chaque exécutable distribué. La vérification des paiements en cryptomonnaie repose sur la soumission du hash de transaction — publiquement traçable sur la blockchain — permettant à l’opérateur du MaaS de constituer une base de données liant chaque client à ses transactions, ses adresses de portefeuille, son token Telegram et son organisation. Les clients qui pensaient opérer sous couvert de l’anonymat cryptographique s’exposaient en réalité à une réidentification complète par l’opérateur de la plateforme.
Le tableau de bord administrateur, accessible uniquement au « SuperAdmin », expose en clair la liste globale de tous les appareils compromis, indépendamment du client ayant déployé l’agent. Cette architecture centralisée, où un seul acteur contrôle l’ensemble des victimes de tous ses clients, représente un risque systémique : la compromission du C2 — ou sa coopération contrainte — expose l’intégralité des déploiements actifs. C’est précisément ce levier qu’ont exploité Proofpoint et ses partenaires pour neutraliser l’infrastructure le 17 février 2026.
L’émergence de TrustConnect et la rapidité de sa reconstitution sous DocConnect signalent une professionnalisation accrue du marché MaaS : des acteurs issus de l’écosystème des stealers reconvertis en éditeurs de RAT, capables de produire en quelques semaines des plateformes sophistiquées avec assistance IA, certificats EV, et modèles d’abonnement structurés. Pour les équipes SOC et les RSSI, la menace ne se limite plus à l’abus d’outils RMM légitimes — elle inclut désormais des faux RMM conçus pour saturer les listes d’autorisation et contourner les politiques de filtrage fondées sur la réputation des éditeurs.
