Le dernier rapport Threat Insights de HP Wolf Security met en lumière des campagnes de maliciels qui perfectionnent des techniques anciennes pour tromper les défenses actuelles. Fausse facture Adobe Reader, code caché dans les pixels d’images ou archives IMG détournées : les cybercriminels redoublent de créativité pour échapper aux outils de sécurité traditionnels.
Les attaques informatiques évoluent rarement par rupture, mais plutôt par affinage. C’est ce que confirme HP dans son rapport trimestriel, « HP Wolf Security Threat Insights Report ». Les chercheurs observent une montée en puissance des techniques dites « Living-off-the-Land » (LOTL), où des outils Windows légitimes comme PowerShell, hh.exe ou extrac 32 sont réemployés pour exécuter du code malveillant en toute discrétion. Cette approche brouille les pistes et rend la distinction entre activités bénignes et attaques réelles plus difficile.
Parmi les cas étudiés, une fausse facture Adobe Reader illustre le raffinement atteint par les attaquants. Déguisée en fichier PDF classique, elle affichait une barre de chargement animée, imitant à la perfection l’interface d’Acrobat. Derrière ce décor, un reverse shell JavaScript permettait de prendre le contrôle à distance de la machine compromise. Pour limiter la détection automatisée, la campagne a été restreinte aux zones germanophones.
Cette sophistication de l’ingénierie sociale n’est pas isolée. Les chercheurs signalent également l’usage croissant des fichiers SVG et des PDF piégés, qui demeurent parmi les formats les plus exploités en hameçonnage. En arrière-plan, l’objectif reste identique : pousser l’utilisateur à cliquer sur un faux document pour déclencher la chaîne d’infection.
Code dissimulé et malwares persistants
Le rapport détaille d’autres vecteurs plus techniques. Des fichiers Compiled HTML Help (.chm), utilisés normalement pour afficher de la documentation, ont servi de support à des scripts qui téléchargeaient et exécutaient XWorm, un cheval de Troie d’accès à distance. Dans une variante, le code malveillant était dissimulé directement dans les pixels d’images hébergées sur des sites légitimes, puis extrait et exécuté via MSBuild.
Les campagnes Lumma Stealer confirment, quant à elles, la persistance de familles de maliciels déjà connues. Malgré un démantèlement coordonné au printemps, le voleur d’identifiants circule toujours, cette fois via des archives IMG montées automatiquement par Windows. Ce mode opératoire exploite la confiance dans des fonctions natives du système pour masquer l’infection.
Des statistiques qui inquiètent les RSSI
Au deuxième trimestre 2025, les archives représentaient 40 % des menaces détectées par HP Sure Click, devant les exécutables et les scripts (35 %) et les documents bureautiques (9 %). Les PDF, bien que moins fréquents qu’auparavant, restent impliqués dans 8 % des attaques. Autre signal d’alerte : 13 % des menaces par courriel identifiées avaient franchi une passerelle de messagerie sans être bloquées.
Pour Alex Holland, chercheur principal chez HP Security Lab, « les hackers ne réinventent pas la roue, mais ils affinent leurs techniques. Les reverse shells ou les attaques LOTL existent depuis des décennies. Aujourd’hui, ils les combinent et les rendent quasi invisibles. » De son côté, Ian Pratt, directeur mondial de la sécurité des systèmes personnels, rappelle le dilemme des entreprises : bloquer ces usages au risque de gêner les utilisateurs, ou laisser passer et exposer l’organisation à l’intrusion.
Vers une défense en profondeur
Le rapport souligne la nécessité d’une stratégie multicouche, où l’isolation et le confinement jouent un rôle central. En analysant les menaces qui ont franchi les filtres classiques, HP Wolf Security revendique une visibilité unique sur les campagnes en cours, et incite les RSSI à compléter leurs outils de détection par des mécanismes de piège et d’isolement.
L’enjeu dépasse la seule technique : la diversification des vecteurs et la sophistication des leurres traduisent une pression constante sur les équipes de sécurité. Entre adaptation constante et surcharge chronique, la course reste ouverte entre attaquants qui recyclent l’existant et défenseurs qui cherchent à contenir l’imprévisible.
