{"id":151670,"date":"2025-06-24T11:44:27","date_gmt":"2025-06-24T18:44:27","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=151670"},"modified":"2025-08-14T12:32:19","modified_gmt":"2025-08-14T19:32:19","slug":"cybercriminals-attack-financial-sector-across-africa","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/","title":{"rendered":"Le secteur financier africain pris pour cible\u00a0: comment les cybercriminels d\u00e9tournent des outils open\u00a0source"},"content":{"rendered":"<h2><a id=\"post-151670-_heading=h.wm8fedezydnu\"><\/a>Synth\u00e8se<\/h2>\n<p>Les chercheurs de l\u2019\u00e9quipe Unit\u00a042 surveillent une s\u00e9rie d\u2019attaques visant des organisations financi\u00e8res dans toute l\u2019Afrique. Nous estimons que l\u2019agent de menace pourrait obtenir un acc\u00e8s initial \u00e0 ces institutions financi\u00e8res, puis le revendre \u00e0 d\u2019autres sur le dark\u00a0web. Depuis au moins juillet\u00a02023, un cluster d'activit\u00e9 que nous avons baptis\u00e9 \u00ab\u00a0CL-CRI-1014\u00a0\u00bb cible ce secteur.<\/p>\n<p>Les attaquants utilisent un mode op\u00e9ratoire coh\u00e9rent, combinant des outils open\u00a0source et librement accessibles pour structurer leur cadre d\u2019attaque. Ils mettent \u00e9galement en place des tunnels de communication r\u00e9seau et assurent une administration \u00e0 distance.<\/p>\n<p>Parmi les outils utilis\u00e9s, citons\u00a0:<\/p>\n<ul>\n<li>PoshC2\u00a0: un framework d\u2019attaque open source<\/li>\n<li>Chisel\u00a0: un utilitaire de tunneling open source<\/li>\n<li>Classroom\u00a0Spy\u00a0: un outil d\u2019administration \u00e0 distance<\/li>\n<\/ul>\n<p>l'agent de menace <a href=\"https:\/\/axelarator.github.io\/posts\/codesigningcerts\/\" target=\"_blank\" rel=\"noopener\">copie les signatures de fichiers d\u2019applications l\u00e9gitimes afin de falsifier l\u2019authenticit\u00e9<\/a> de ses outils et dissimuler ses activit\u00e9s malveillantes. Ce type d\u2019usurpation est courant chez les cybercriminels et ne refl\u00e8te en aucun cas une faille dans les produits ou services des organisations concern\u00e9es.<\/p>\n<p>Nous pensons que ces acteurs agissent en tant que courtiers d\u2019acc\u00e8s initial. Leur objectif serait de compromettre des institutions financi\u00e8res afin d\u2019y \u00e9tablir un point d\u2019entr\u00e9e, qu\u2019ils revendraient ensuite sur des places de march\u00e9 clandestines. Un courtier d\u2019acc\u00e8s initial est un acteur de la menace sp\u00e9cialis\u00e9 dans la compromission de r\u00e9seaux, dont il revend ensuite l\u2019acc\u00e8s \u00e0 d\u2019autres cybercriminels.<\/p>\n<p>En partageant cette analyse, nous souhaitons fournir aux professionnels de la cybers\u00e9curit\u00e9, et notamment \u00e0 ceux qui \u00e9voluent dans les secteurs financiers \u00e0 haut risque, les connaissances n\u00e9cessaires pour d\u00e9tecter et att\u00e9nuer cette menace.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li>Les mod\u00e8les de Machine\u00a0Learning <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">d\u2019Advanced\u00a0WildFire<\/a> ont \u00e9t\u00e9 mis \u00e0 jour sur la base des indicateurs de compromission (IoC) identifi\u00e9s dans cette recherche.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0URL\u00a0Filtering<\/a> et <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0DNS\u00a0Security<\/a> permettent d\u2019identifier les domaines et URL associ\u00e9s \u00e0 cette activit\u00e9 comme \u00e9tant malveillants.<\/li>\n<li>Le service \u00ab\u00a0Deep and Dark\u00a0Web\u00a0\u00bb d\u2019Unit\u00a042 offre une visibilit\u00e9 sur les menaces \u00e9mergentes et les contenus sensibles publi\u00e9s sur le dark\u00a0web.<\/li>\n<\/ul>\n<p>Pour en savoir plus \u00e0 ce sujet et sur les autres fa\u00e7ons dont Unit\u00a042 peut vous aider, contactez <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">son \u00e9quipe de r\u00e9ponse \u00e0 incident.<\/a><\/p>\n<p>earn about this and other ways Unit 42 can help, contact the <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">Unit 42 Incident Response team<\/a>.<\/p>\n<table style=\"width: 100%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Unit\u00a042 -\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 100%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/finance-fr\/\" target=\"_blank\" rel=\"noopener\"><b>Finance<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/category\/cybercrime-fr\/\" target=\"_blank\" rel=\"noopener\">Cybercrime<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-151670-_heading=h.q9fiz8u6czv1\"><\/a>Analyse technique du playbook de CL-CRI-1014<\/h2>\n<p>L'agent de menace \u00e0 l\u2019origine de CL-CRI-1014 utilisent syst\u00e9matiquement un ensemble sp\u00e9cifique d\u2019outils dans leur playbook pour cibler le secteur financier en Afrique. Ce playbook repose sur une combinaison d\u2019outils open\u00a0source et librement accessibles, tels que PoshC2, Chisel et Classroom\u00a0Spy, pr\u00e9sent\u00e9s comme des outils de test d\u2019intrusion et d\u2019administration \u00e0 distance.<\/p>\n<p>Pour se d\u00e9placer lat\u00e9ralement au sein de l\u2019environnement compromis et d\u00e9ployer ces outils, les attaquants ont eu recours \u00e0 plusieurs techniques, notamment\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/\" target=\"_blank\" rel=\"noopener\">La cr\u00e9ation de services \u00e0 distance<\/a><\/li>\n<li>L\u2019ex\u00e9cution via le mod\u00e8le <a href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/003\/\" target=\"_blank\" rel=\"noopener\">DCOM<\/a> (Distributed Component Object Model, soit \u00ab\u00a0mod\u00e8le de composant objet distribu\u00e9\u00a0\u00bb)<\/li>\n<li>L\u2019utilisation de l\u2019outil l\u00e9gitime <a href=\"https:\/\/attack.mitre.org\/software\/S0029\/\" target=\"_blank\" rel=\"noopener\">PsExec<\/a><\/li>\n<\/ul>\n<p>La Figure\u00a01 illustre comment les acteurs de la menace ont utilis\u00e9 ces outils pour propager des logiciels malveillants vers d\u2019autres machines de l\u2019environnement compromis, avant de d\u00e9ployer des charges utiles suppl\u00e9mentaires. Les sections suivantes d\u00e9taillent l\u2019utilisation de chaque outil par les attaquants.<\/p>\n<figure id=\"attachment_151759\" aria-describedby=\"caption-attachment-151759\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-151759 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/Image-FR_Threat-actor-targets-banks-in-Africa-diagram-748x440.png\" alt=\"Diagramme illustrant un sc\u00e9nario de cyberattaque. Une machine contr\u00f4l\u00e9e par l\u2019attaquant utilise\u00a0PsExec et Chisel pour \u00e9tablir une connexion \u00e0 distance et contourner les protections du pare-feu. Elle cible la Machine\u00a0A en lui livrant des charges utiles destin\u00e9es \u00e0 la reconnaissance et \u00e0 la poursuite de l\u2019attaque. Ces op\u00e9rations incluent \u00e9galement la compromission de la Machine\u00a0B via Chisel, en utilisant\u00a0PsExec et PowerShell, pour finalement installer Classroom\u00a0Spy.\" width=\"1000\" height=\"588\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/Image-FR_Threat-actor-targets-banks-in-Africa-diagram-748x440.png 748w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/Image-FR_Threat-actor-targets-banks-in-Africa-diagram-1190x700.png 1190w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/Image-FR_Threat-actor-targets-banks-in-Africa-diagram-768x452.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/Image-FR_Threat-actor-targets-banks-in-Africa-diagram.png 1209w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-151759\" class=\"wp-caption-text\">Figure 1. Exemple d\u2019utilisation de PsExec, Chisel, PoshC2 et Classroom Spy par l\u2019acteur de la menace dans son playbook d\u2019attaque.<\/figcaption><\/figure>\n<h3><a id=\"post-151670-_heading=h.lzc38l30xwor\"><\/a><strong>Quand l\u2019agent devient espion <\/strong><\/h3>\n<p>Notre analyse indique que lors de campagnes pr\u00e9c\u00e9dentes, les attaquants utilisaient principalement <a href=\"https:\/\/github.com\/Ylianst\/MeshAgent\" target=\"_blank\" rel=\"noopener\">MeshAgent<\/a>, un outil open source de gestion \u00e0 distance, comme charge utile principale pour contr\u00f4ler les machines compromises.<\/p>\n<p>Les attaques r\u00e9centes men\u00e9es par cet acteur de la menace montrent une l\u00e9g\u00e8re \u00e9volution dans l\u2019arsenal utilis\u00e9, avec le remplacement de MeshAgent par un outil d\u2019administration \u00e0 distance nomm\u00e9 Classroom\u00a0Spy. Commercialis\u00e9 comme un logiciel de surveillance informatique destin\u00e9 aux \u00e9tablissements scolaires, il est disponible en version gratuite et payante pour plusieurs plateformes, dont Windows, macOS, Linux, iOS et Android.<\/p>\n<p>La Figure\u00a02 montre comment les attaquants ont utilis\u00e9 des scripts\u00a0PowerShell (comme <span style=\"font-family: 'courier new', courier, monospace;\">slr.ps1, sqlx.ps1, sav.ps1 <span style=\"font-family: georgia, palatino, serif;\">et<\/span> cfg.ps1<\/span>) pour d\u00e9ployer et installer Classroom\u00a0Spy sur les syst\u00e8mes pris pour cibles. Ces scripts\u00a0PowerShell extrayaient les fichiers de Classroom\u00a0Spy depuis une archive ZIP et installaient le logiciel en tant que service.<\/p>\n<figure id=\"attachment_151682\" aria-describedby=\"caption-attachment-151682\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-151682 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-782432-151670-2.png\" alt=\"Organigramme illustrant les \u00e9tapes d\u2019installation et d\u2019ex\u00e9cution de Classroom\u00a0Spy, avec les fichiers interm\u00e9diaires et les \u00e9tapes associ\u00e9es au chargement du syst\u00e8me Microsoft\u00a0Windows, ainsi qu\u2019une ic\u00f4ne d\u2019alerte indiquant un avertissement ou une erreur \u00e0 l\u2019\u00e9tape Classroom\u00a0Spy.\" width=\"1000\" height=\"231\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-782432-151670-2.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-782432-151670-2-786x182.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-782432-151670-2-1920x444.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-782432-151670-2-768x178.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-782432-151670-2-1536x356.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-151682\" class=\"wp-caption-text\">Figure 2. Installation et ex\u00e9cution de Classroom Spy.<\/figcaption><\/figure>\n<p>L'agent de menace a vraisemblablement modifi\u00e9 les noms et les chemins d\u2019installation des ex\u00e9cutables de Classroom\u00a0Spy afin de masquer l\u2019utilisation de cet outil dans les environnements infect\u00e9s. La Figure\u00a03 montre comment l\u2019attaquant peut renommer ces ex\u00e9cutables via l\u2019onglet \u00ab\u00a0Stealth Options\u00a0\u00bb.<\/p>\n<p>Au cours de notre enqu\u00eate, nous avons identifi\u00e9 des ex\u00e9cutables de Classroom\u00a0Spy portant des noms tels que <span style=\"font-family: 'courier new', courier, monospace;\">systemsvc.exe<\/span>,<span style=\"font-family: 'courier new', courier, monospace;\"> vm3dservice.exe<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">vmtoolsd.exe<\/span>.<\/p>\n<figure id=\"attachment_151693\" aria-describedby=\"caption-attachment-151693\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-151693 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-786421-151670-3.png\" alt=\"Capture d\u2019\u00e9cran d\u2019une fen\u00eatre de configuration d\u2019agent, avec des options permettant de d\u00e9finir ou de r\u00e9initialiser les noms des services et processus li\u00e9s \u00e0 l\u2019agent\u00a0NLCS et \u00e0 ses fichiers\u00a0EXE associ\u00e9s. \" width=\"1000\" height=\"385\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-786421-151670-3.png 1414w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-786421-151670-3-786x302.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-786421-151670-3-768x295.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-151693\" class=\"wp-caption-text\">Figure 3. Options de furtivit\u00e9 lors de l\u2019installation de l\u2019agent Classroom Spy.<\/figcaption><\/figure>\n<p>Classroom Spy comprend les fonctionnalit\u00e9s suivantes\u00a0:<\/p>\n<ul>\n<li>Surveillance en temps r\u00e9el de l\u2019\u00e9cran de l\u2019ordinateur (y compris la capture d\u2019\u00e9cran)<\/li>\n<li>Contr\u00f4le de la souris et du clavier<\/li>\n<li>Collecte et d\u00e9ploiement de fichiers vers et depuis les machines<\/li>\n<li>Enregistrement des pages web visit\u00e9es<\/li>\n<li>Enregistrement des frappes clavier (keylogging)<\/li>\n<li>Enregistrement audio<\/li>\n<li>Acc\u00e8s \u00e0 la cam\u00e9ra<\/li>\n<li>Ouverture d\u2019un terminal<\/li>\n<li>Collecte d\u2019informations syst\u00e8me<\/li>\n<li>Surveillance et blocage des applications<\/li>\n<\/ul>\n<p>La Figure\u00a04 illustre le panneau de contr\u00f4le de Classroom\u00a0Spy.<\/p>\n<figure id=\"attachment_151704\" aria-describedby=\"caption-attachment-151704\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-151704 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-789408-151670-4.png\" alt=\"Capture d\u2019\u00e9cran du panneau de configuration de Classroom\u00a0Spy. Plusieurs lignes de boutons avec des ic\u00f4nes sont visibles, proposant des options telles que Red\u00e9marrer, Veille, \u00c9cran noir, entre autres. Des fonctions permettent \u00e9galement d\u2019envoyer des frappes clavier, d\u2019ouvrir un document ou de lancer un programme. \" width=\"1000\" height=\"507\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-789408-151670-4.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-789408-151670-4-786x399.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-789408-151670-4-1380x700.png 1380w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-789408-151670-4-768x390.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-789408-151670-4-1536x779.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-151704\" class=\"wp-caption-text\">Figure 4. Panneau de configuration de Classroom Spy.<\/figcaption><\/figure>\n<h3><a id=\"post-151670-_heading=h.nai691qb30mt\"><\/a><strong>Derri\u00e8re le masque des frameworks falsifi\u00e9s<\/strong><\/h3>\n<p>L'agent de menace a cach\u00e9 les outils utilis\u00e9s dans ces op\u00e9rations en processus l\u00e9gitimes. Cela incluait la reproduction \u00e0 l\u2019identique de l\u2019ic\u00f4ne, de la signature du fichier, du nom du processus et du chemin d\u2019acc\u00e8s utilis\u00e9s par le fichier d\u2019origine.<\/p>\n<p>Cette m\u00e9thode a \u00e9t\u00e9 utilis\u00e9e pour la plupart des outils d\u00e9ploy\u00e9s. La Figure\u00a05 montre des exemples d\u2019ex\u00e9cutables\u00a0Chisel et PoshC2 maquill\u00e9s pour ressembler \u00e0 des produits\u00a0Microsoft, Cortex et VMware.<\/p>\n<figure id=\"attachment_151715\" aria-describedby=\"caption-attachment-151715\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-151715 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-793992-151670-5.png\" alt=\"Trois certificats num\u00e9riques affich\u00e9s c\u00f4te \u00e0 c\u00f4te. Ils sont masqu\u00e9s sous les noms\u00a0Microsoft, Cortex et VMware. \" width=\"1000\" height=\"276\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-793992-151670-5.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-793992-151670-5-786x217.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-793992-151670-5-1920x531.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-793992-151670-5-768x212.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-793992-151670-5-1536x425.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-151715\" class=\"wp-caption-text\">Figure 5. Ex\u00e9cutables Chisel et PoshC2 maquill\u00e9s en produits Microsoft, Cortex et VMware.<\/figcaption><\/figure>\n<p>\u00c0 noter\u00a0: le nom et le logo affich\u00e9s sont le fait d\u2019un agent de menace tentant d\u2019usurper l\u2019identit\u00e9 d\u2019une organisation l\u00e9gitime. Ils ne refl\u00e8tent en aucun cas une affiliation r\u00e9elle avec cette organisation. Cette tentative d\u2019usurpation ne signifie pas qu\u2019une vuln\u00e9rabilit\u00e9 affecte les produits ou services de l\u2019organisation l\u00e9gitime.<\/p>\n<h3><a id=\"post-151670-_heading=h.pds4p4b3konf\"><\/a><strong>Posh\u00a0: charge utile, proxy et persistance <\/strong><\/h3>\n<p><a href=\"https:\/\/poshc2.readthedocs.io\/en\/latest\/index.html\" target=\"_blank\" rel=\"noopener\">PoshC2<\/a> est un framework d\u2019attaque open\u00a0source utilis\u00e9 aussi bien par les pentesteurs que par des acteurs malveillants. Il s\u2019agit d\u2019un outil central dans la strat\u00e9gie des attaquants pour ex\u00e9cuter des commandes et s\u2019implanter dans les environnements compromis. Le framework\u00a0PoshC2 permet de g\u00e9n\u00e9rer diff\u00e9rents types d\u2019implants (PowerShell, C#.NET et Python) et inclut par d\u00e9faut de nombreux modules d\u2019attaque.<\/p>\n<h4><a id=\"post-151670-_heading=h.pz1th2z0q27c\"><\/a>Charges utiles\u00a0PoshC2<\/h4>\n<p>Bien que la plupart des implants observ\u00e9s dans ce cluster d\u2019activit\u00e9s aient \u00e9t\u00e9 d\u00e9velopp\u00e9s en C#, certains l\u2019\u00e9taient \u00e9galement en PowerShell. Dans le cadre de ces attaques, l\u2019acteur de la menace a empaquet\u00e9 les implants\u00a0PoshC2 en C# \u00e0 l\u2019aide d\u2019un packer \u00e9crit en langage\u00a0<a href=\"https:\/\/nim-lang.org\/\" target=\"_blank\" rel=\"noopener\">Nim<\/a>. Ce dernier d\u00e9paquetait le binaire\u00a0PoshC2 en m\u00e9moire et le chargeait pour l\u2019ex\u00e9cuter.<\/p>\n<p>Le packer utilis\u00e9 par l\u2019acteur de la menace sur certaines charges utiles n\u2019ex\u00e9cute l\u2019implant\u00a0PoshC2 que si la machine h\u00f4te fait partie d\u2019un domaine Active\u00a0Directory. Ce comportement sert vraisemblablement de m\u00e9canisme anti-analyse.<\/p>\n<h4><a id=\"post-151670-_heading=h.wvb72d2p7qcb\"><\/a>PoshC2 en tant que proxy<\/h4>\n<p>L\u2019acteur de la menace a vol\u00e9 les identifiants d\u2019utilisateurs des r\u00e9seaux infect\u00e9s pour mettre en place un proxy. PoshC2 peut utiliser un proxy pour communiquer avec un serveur de commande et de contr\u00f4le (C2), et il semble que l\u2019acteur ait personnalis\u00e9 certains implants\u00a0PoshC2 pour les adapter \u00e0 l\u2019environnement cibl\u00e9. Certains des implants observ\u00e9s utilisaient l\u2019adresse\u00a0IP interne cod\u00e9e en dur et les identifiants vol\u00e9s dans l\u2019environnement compromis pour activer la fonctionnalit\u00e9 proxy, comme illustr\u00e9 dans la Figure\u00a06.<\/p>\n<figure id=\"attachment_151726\" aria-describedby=\"caption-attachment-151726\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-151726 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-797374-151670-6.png\" alt=\"Capture d\u2019\u00e9cran de l\u2019\u00e9diteur Visual\u00a0Studio affichant un extrait de code en C#, avec deux lignes de texte flout\u00e9es mises en \u00e9vidence par un encadr\u00e9 rouge.\" width=\"1000\" height=\"544\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-797374-151670-6.png 1171w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-797374-151670-6-786x428.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-797374-151670-6-768x418.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-151726\" class=\"wp-caption-text\">Figure 6. Extrait de code d\u2019un ex\u00e9cutable PoshC2 contenant un nom d\u2019utilisateur et un mot de passe cod\u00e9s en dur.<\/figcaption><\/figure>\n<h4><a id=\"post-151670-_heading=h.mzslv385nnk2\"><\/a>M\u00e9canisme de persistance de PoshC2<\/h4>\n<p>L\u2019acteur de la menace a utilis\u00e9 plusieurs m\u00e9thodes sur diff\u00e9rentes machines pour assurer la persistance de PoshC2. Ces m\u00e9thodes comprenaient\u00a0:<\/p>\n<ul>\n<li>La cr\u00e9ation d\u2019un service<\/li>\n<li>L\u2019enregistrement d\u2019un raccourci (sous forme de fichier LNK) vers l\u2019outil dans le dossier (<span style=\"font-family: 'courier new', courier, monospace;\">Startup<\/span>) de d\u00e9marrage<\/li>\n<li>L\u2019utilisation d\u2019une t\u00e2che planifi\u00e9e (illustr\u00e9e dans la Figure\u00a07)<\/li>\n<\/ul>\n<p>Montrant une bonne connaissance des produits de s\u00e9curit\u00e9 install\u00e9s sur les appareils infect\u00e9s, l\u2019acteur a, dans ce cas, maquill\u00e9 le malware sous le nom de fichier <span style=\"font-family: 'courier new', courier, monospace;\">CortexUpdater.exe<\/span> et nomm\u00e9 la t\u00e2che planifi\u00e9e <span style=\"font-family: 'courier new', courier, monospace;\">Palo\u00a0Alto Cortex\u00a0Services.<\/span><\/p>\n<figure id=\"attachment_151737\" aria-describedby=\"caption-attachment-151737\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-151737 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-800863-151670-7.png\" alt=\"Diagramme Cortex\u00a0XDR illustrant une s\u00e9quence de quatre processus informatiques. Une ic\u00f4ne d\u2019alerte appara\u00eet \u00e0 c\u00f4t\u00e9 de svchost.exe. En dessous figure un script de ligne de commande li\u00e9 aux \u00ab\u00a0services\u00a0Cortex de Palo\u00a0Alto\u00a0\u00bb, avec des d\u00e9tails de planification et d\u2019ex\u00e9cution.\" width=\"1000\" height=\"362\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-800863-151670-7.png 1696w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-800863-151670-7-786x285.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-800863-151670-7-768x278.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-800863-151670-7-1536x556.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-151737\" class=\"wp-caption-text\">Figure 7. Les attaquants cr\u00e9ent une t\u00e2che planifi\u00e9e pour PoshC2, maquill\u00e9e en fichier nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">CortexUpdater.exe.<\/span><\/figcaption><\/figure>\n<h3><a id=\"post-151670-_heading=h.oad18iojh2mb\"><\/a><strong>Le tunnel\u00a0Chisel<\/strong><\/h3>\n<p>Pour dissimuler leurs op\u00e9rations au sein des r\u00e9seaux infect\u00e9s, les attaquants ont d\u00e9ploy\u00e9 un outil appel\u00e9 Chisel. Il semble que les attaquants l\u2019aient utilis\u00e9 comme proxy afin de contourner les contr\u00f4les r\u00e9seau, tels que les pare-feu.<\/p>\n<p><a href=\"https:\/\/github.com\/jpillora\/chisel\" target=\"_blank\" rel=\"noopener\">Chisel<\/a> est un utilitaire de tunneling open\u00a0source bas\u00e9 sur une architecture client-serveur. Lorsqu\u2019il est ex\u00e9cut\u00e9 sur l\u2019ordinateur de la victime, le client Chisel se connecte \u00e0 un serveur Chisel contr\u00f4l\u00e9 par l\u2019attaquant. Le PC infect\u00e9 fonctionne alors comme un proxy et transmet les communications\u00a0r\u00e9seau du serveur \u00e0 d\u2019autres ordinateurs distants.<\/p>\n<p>La Figure\u00a08 montre un implant\u00a0PoshC2 ex\u00e9cutant Chisel en tant que proxy\u00a0SOCKS, autrement dit un serveur qui utilise le protocole\u00a0<a href=\"https:\/\/gokhnayisigi.medium.com\/what-is-socks-protocol-socket-secure-4ce77b463e59\" target=\"_blank\" rel=\"noopener\">SOCKS<\/a> pour transmettre le trafic d\u2019un ordinateur vers un serveur distant, masquant ainsi l\u2019adresse\u00a0IP de l\u2019h\u00f4te.<\/p>\n<figure id=\"attachment_151748\" aria-describedby=\"caption-attachment-151748\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-151748 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-803915-151670-8.png\" alt=\"Organigramme Cortex\u00a0XDR repr\u00e9sentant la s\u00e9quence d\u2019une attaque informatique impliquant divers programmes et composants. Il comprend des \u00e9l\u00e9ments graphiques tels que des cercles et des lignes de connexion, ainsi que des noms de programmes sp\u00e9cifiques, avec des d\u00e9tails suppl\u00e9mentaires comme des chemins\u00a0URL et des param\u00e8tres.\" width=\"1000\" height=\"581\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-803915-151670-8.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-803915-151670-8-758x440.png 758w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-803915-151670-8-1206x700.png 1206w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-803915-151670-8-768x446.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/word-image-803915-151670-8-1536x892.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-151748\" class=\"wp-caption-text\">Figure 8. L\u2019implant PoshC2 ex\u00e9cute Chisel en tant que proxy SOCKS.<\/figcaption><\/figure>\n<h2><a id=\"post-151670-_heading=h.jmy8rw3yjkmi\"><\/a>Conclusion<\/h2>\n<p>Ce rapport met en lumi\u00e8re le groupe d\u2019activit\u00e9\u00a0CL-CRI-1014, qui cible plusieurs institutions financi\u00e8res dans toute l\u2019Afrique. Nous pensons que l\u2019objectif de cette activit\u00e9 est de servir d\u2019interm\u00e9diaire d\u2019acc\u00e8s initial, en assurant puis en revendant l\u2019acc\u00e8s \u00e0 des r\u00e9seaux compromis.<\/p>\n<p>Le mode op\u00e9ratoire de\u00a0CL-CRI-1014 repose sur une combinaison d\u2019outils open\u00a0source et disponibles publiquement. L\u2019attaquant a mis en \u0153uvre plusieurs techniques pour \u00e9viter la d\u00e9tection, et notamment\u00a0:<\/p>\n<ul>\n<li>L\u2019utilisation de packers<\/li>\n<li>La signature des outils avec des certificats vol\u00e9s<\/li>\n<li>L\u2019usage d\u2019ic\u00f4nes associ\u00e9es \u00e0 des produits l\u00e9gitimes<\/li>\n<\/ul>\n<p>Nous encourageons les organisations \u00e0 int\u00e9grer les conclusions de cette recherche \u00e0 leurs initiatives de d\u00e9tection proactive et de d\u00e9fense afin d\u2019identifier et de contrer plus efficacement ce type de menaces.<\/p>\n<h3><a id=\"post-151670-_heading=h.weeonq1n9ai0\"><\/a>Protection et att\u00e9nuation des risques par Palo\u00a0Alto\u00a0Networks<\/h3>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces mentionn\u00e9es ci-dessus gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/gokhnayisigi.medium.com\/what-is-socks-protocol-socket-secure-4ce77b463e59\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> et <a href=\"https:\/\/gokhnayisigi.medium.com\/what-is-socks-protocol-socket-secure-4ce77b463e59\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li>Les mod\u00e8les de Machine\u00a0Learning d\u2019Advanced\u00a0WildFire ont \u00e9t\u00e9 mis \u00e0 jour sur la base des indicateurs de compromission (IoC) identifi\u00e9s dans cette recherche.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\">Advanced\u00a0URL\u00a0Filtering<\/a> et <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\">Advanced\u00a0DNS\u00a0Security<\/a> permettent d\u2019identifier les domaines et URL associ\u00e9s \u00e0 cette activit\u00e9 comme \u00e9tant malveillants.<\/li>\n<li>Le service \u00ab\u00a0Deep and Dark\u00a0Web\u00a0\u00bb d\u2019Unit\u00a042 aide les organisations \u00e0 obtenir une visibilit\u00e9 sur les risques inconnus et \u00e9mergents li\u00e9s aux contenus publi\u00e9s sur le dark\u00a0web, \u00e0 \u00eatre inform\u00e9es de l\u2019exposition d\u2019informations sensibles, et \u00e0 r\u00e9duire le d\u00e9lai entre la d\u00e9tection et la r\u00e9ponse.<\/li>\n<\/ul>\n<p>Pour en savoir plus \u00e0 ce sujet et sur les autres fa\u00e7ons dont Unit\u00a042 peut vous aider, contactez<a href=\"https:\/\/gokhnayisigi.medium.com\/what-is-socks-protocol-socket-secure-4ce77b463e59\" target=\"_blank\" rel=\"noopener\"> son \u00e9quipe de r\u00e9ponse \u00e0 incident<\/a> ou composez\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/gokhnayisigi.medium.com\/what-is-socks-protocol-socket-secure-4ce77b463e59\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-151670-_heading=h.esykg2n5yv36\"><\/a>Indicateurs de compromission<\/h2>\n<p>Hashes\u00a0SHA256 pour PoshC2 (version pack\u00e9e)<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">3bbe3f42857bbf74424ff4d044027b9c43d3386371decf905a4a1037ad468e2c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9149ea94f27b7b239156dc62366ee0f85b0497e1a4c6e265c37bedd9a7efc07f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a41e7a78f0a2c360db5834b4603670c12308ff2b0a9b6aeaa398eeac6d3b3190<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">0bb7a473d2b2a3617ca12758c6fbb4e674243daa45c321d53b70df95130e23bc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">14b2c620dc691bf6390aef15965c9587a37ea3d992260f0cbd643a5902f0c65b<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9d9cb28b5938529893ad4156c34c36955aab79c455517796172c4c642b7b4699<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e14b07b67f1a54b02fc6b65fdba3c9e41130f283bfea459afa6bee763d3756f8<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a61092a13155ec8cb2b9cdf2796a1a2a230cfadb3c1fd923443624ec86cb7044<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7e0aa32565167267bce5f9508235f1dacbf78a79b44b852c25d83ed093672ed9<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d81a014332e322ce356a0e2ed11cffddd37148b907f9fdf5db7024e192ed4b70<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d528bcbfef874f19e11bdc5581c47f482c93ff094812b8ee56ea602e2e239b56<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f1919abe7364f64c75a26cff78c3fcc42e5835685301da26b6f73a6029912072<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">633f90a3125d0668d3aac564ae5b311416f7576a0a48be4a42d21557f43d2b4f<\/span><\/li>\n<\/ul>\n<p>SHA256 Hashes for Chisel<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bc8b4f4af2e31f715dc1eb173e53e696d89dd10162a27ff5504c993864d36f2f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9a84929e3d254f189cb334764c9b49571cafcd97a93e627f0502c8a9c303c9a4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5e4511905484a6dc531fa8f32e0310a8378839048fe6acfeaf4dda2396184997<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e788f829b1a0141a488afb5f82b94f13035623609ca3b83f0c6985919cd9e83b<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2ce8653c59686833272b23cc30235dae915207bf9cdf1d08f6a3348fb3a3e5c1<\/span><\/li>\n<\/ul>\n<p>SHA256 Hashes for Classroom Spy Files<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">831d98404ce5e3e5499b558bb653510c0e9407e4cb2f54157503a0842317a363<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f5614dc9f91659fb956fd18a5b81794bd1e0a0de874b705e11791ae74bb2e533<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">aed1b6782cfd70156b99f1b79412a6e80c918a669bc00a6eee5e824840c870c1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6cfa5f93223db220037840a2798384ccc978641bcec9c118fde704d40480d050<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">831d98404ce5e3e5499b558bb653510c0e9407e4cb2f54157503a0842317a363<\/span><\/li>\n<\/ul>\n<p>Domaines<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">finix.newsnewth365[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mozal.finartex[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">vigio.finartex[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bixxler.drennonmarketingreviews[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">genova.drennonmarketingreviews[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">savings.foothillindbank[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tnn.specialfinanceinsider[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ec2-18-140-227-82.ap-southeast-1.compute.amazonaws[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c2-51-20-36-117.eu-north-1.compute.amazonaws[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">flesh.tabtemplates[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">health.aqlifecare[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">vlety.forwardbanker[.]com<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Des cybercriminels agiraient potentiellement en tant que courtiers en acc\u00e8s initial pour cibler des organisations financi\u00e8res partout en Afrique. Nous analysons leur mode op\u00e9ratoire.<\/p>\n","protected":false},"author":366,"featured_media":144004,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8733,8787,8832],"tags":[9458,9459],"product_categories":[8956,8973,8979,8955,9041,9053,9064,9151],"coauthors":[4094,9210],"class_list":["post-151670","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybercrime-fr","category-malware-fr","category-threat-research-fr","tag-cl-cri-1014-fr","tag-finance-fr","product_categories-advanced-dns-security-fr","product_categories-advanced-url-filtering-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Le secteur financier africain pris pour cible\u00a0: comment les cybercriminels d\u00e9tournent des outils open\u00a0source<\/title>\n<meta name=\"description\" content=\"Des cybercriminels agiraient potentiellement en tant que courtiers en acc\u00e8s initial pour cibler des organisations financi\u00e8res partout en Afrique. Nous analysons leur mode op\u00e9ratoire.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Le secteur financier africain pris pour cible\u00a0: comment les cybercriminels d\u00e9tournent des outils open\u00a0source\" \/>\n<meta property=\"og:description\" content=\"Des cybercriminels agiraient potentiellement en tant que courtiers en acc\u00e8s initial pour cibler des organisations financi\u00e8res partout en Afrique. Nous analysons leur mode op\u00e9ratoire.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-06-24T18:44:27+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-08-14T19:32:19+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/06_Cybercrime_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Tom Fakterman, Guy Levi\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Le secteur financier africain pris pour cible\u00a0: comment les cybercriminels d\u00e9tournent des outils open\u00a0source","description":"Des cybercriminels agiraient potentiellement en tant que courtiers en acc\u00e8s initial pour cibler des organisations financi\u00e8res partout en Afrique. Nous analysons leur mode op\u00e9ratoire.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/","og_locale":"fr_FR","og_type":"article","og_title":"Le secteur financier africain pris pour cible\u00a0: comment les cybercriminels d\u00e9tournent des outils open\u00a0source","og_description":"Des cybercriminels agiraient potentiellement en tant que courtiers en acc\u00e8s initial pour cibler des organisations financi\u00e8res partout en Afrique. Nous analysons leur mode op\u00e9ratoire.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/","og_site_name":"Unit 42","article_published_time":"2025-06-24T18:44:27+00:00","article_modified_time":"2025-08-14T19:32:19+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/06_Cybercrime_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Tom Fakterman, Guy Levi","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Le secteur financier africain pris pour cible\u00a0: comment les cybercriminels d\u00e9tournent des outils open\u00a0source","datePublished":"2025-06-24T18:44:27+00:00","dateModified":"2025-08-14T19:32:19+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/"},"wordCount":2601,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/06_Cybercrime_Category_1920x900.jpg","keywords":["CL-CRI-1014","Finance"],"articleSection":["Cybercrime","Malware","Recherche sur les menaces"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/","name":"Le secteur financier africain pris pour cible\u00a0: comment les cybercriminels d\u00e9tournent des outils open\u00a0source","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/06_Cybercrime_Category_1920x900.jpg","datePublished":"2025-06-24T18:44:27+00:00","dateModified":"2025-08-14T19:32:19+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Des cybercriminels agiraient potentiellement en tant que courtiers en acc\u00e8s initial pour cibler des organisations financi\u00e8res partout en Afrique. Nous analysons leur mode op\u00e9ratoire.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/06_Cybercrime_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/06_Cybercrime_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial illustration of cybercriminals. Illustration of a computer chip with a warning message \"Network Hacked\" displayed in a bright red alert triangle, surrounded by intricate digital elements and glowing lines, signifying a cybersecurity breach."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cybercriminals-attack-financial-sector-across-africa\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Le secteur financier africain pris pour cible\u00a0: comment les cybercriminels d\u00e9tournent des outils open\u00a0source"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/151670","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=151670"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/151670\/revisions"}],"predecessor-version":[{"id":151773,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/151670\/revisions\/151773"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/144004"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=151670"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=151670"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=151670"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=151670"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=151670"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}