Cybersecurity threat visualization showing compromised network infrastructure with warning indicators

ÉlevéLogiciel malveillant

BlackSanta EDR Killer : les hackers russes désactivent les outils de sécurité des entreprises via les RH

Des acteurs malveillants russophones déploient le malware BlackSanta depuis plus d'un an pour éviter la détection EDR/XDR. Ciblant spécifiquement les départements RH comme point d'entrée, la menace exploite les workflows email RH pour contourner les contrôles sécurité et accéder aux systèmes d'entreprise.

Emanuel DE ALMEIDA 10 mars 2026, 23:57 2 min de lecture 0 vues 0 Commentaires

Dernière mise à jour 11 mars 2026, 02:34

Points Clés

Menace : Malware BlackSanta EDR killer ciblant les flux de travail RH
Impact : Désactive les outils de détection et de réponse des points de terminaison
Durée : Campagne active s'étendant sur plus de 12 mois
Attribution : Acteur de menace russophone

Des hackers russes déploient BlackSanta contre les équipes RH

Un acteur de menace russophone cible les départements des ressources humaines avec une souche de malware sophistiquée appelée BlackSanta depuis plus d'un an. La campagne se concentre spécifiquement sur les flux de travail RH, exploitant l'accès du département aux données sensibles des employés et aux systèmes d'entreprise.

BlackSanta fonctionne comme un tueur d'EDR, conçu pour désactiver les outils de sécurité de détection et de réponse des points de terminaison sur lesquels les organisations comptent pour surveiller et protéger leurs réseaux. Les chercheurs en sécurité de Dark Reading ont documenté les tactiques de la campagne en cours et son impact sur les environnements d'entreprise.

Les départements RH font face à une campagne ciblée

Les attaques ciblent spécifiquement les départements RH de plusieurs organisations, profitant de l'accès privilégié de ces équipes aux dossiers des employés, aux systèmes de paie et aux communications internes. Le personnel RH dispose souvent de permissions élevées qui en font des cibles attrayantes pour les attaquants cherchant à établir un accès persistant.

Les organisations utilisant des solutions EDR standard sont particulièrement vulnérables, car la fonction principale de BlackSanta est de neutraliser ces contrôles de sécurité. Une fois déployé, le malware peut opérer sans être détecté en désactivant les outils mêmes conçus pour repérer les activités malveillantes.

BlackSanta désactive les contrôles de sécurité

La capacité principale du malware consiste à désactiver systématiquement les outils de détection et de réponse des points de terminaison, créant des angles morts dans la surveillance de la sécurité organisationnelle. Cela permet aux attaquants de maintenir la persistance et de mener des activités malveillantes supplémentaires sans déclencher d'alertes de sécurité.

La durée prolongée de plus de 12 mois suggère une opération bien dotée en ressources avec des objectifs spécifiques de collecte de renseignements. L'accent mis sur les départements RH indique que les attaquants cherchent probablement à accéder aux données des employés, aux organigrammes, ou à utiliser les systèmes RH comme tremplin pour un accès plus large au réseau.

Questions Fréquentes

Qu'est-ce que le malware BlackSanta ?

BlackSanta est un logiciel malveillant tueur d'EDR qui désactive les outils de sécurité de détection et de réponse des points de terminaison, permettant aux attaquants d'opérer sans être détectés sur les systèmes compromis.

Pourquoi les hackers ciblent-ils les départements RH ?

Les départements RH ont un accès privilégié aux données des employés, aux systèmes de paie et aux communications internes, ce qui en fait des cibles précieuses pour le vol de données et l'infiltration de réseau.

Depuis combien de temps la campagne BlackSanta est-elle active ?

Des chercheurs en sécurité ont documenté des attaques BlackSanta ciblant les départements RH depuis plus de 12 mois, indiquant une campagne soutenue.

#blacksanta #edr-killer #hr-attacks

À propos de l'auteur

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...

Tutoriels Associes

Approfondissez ce sujet avec nos guides pas a pas

Tous les Tutoriels

IT administrator configuring USB blocking policies in Microsoft Intune admin center

Intermediaire

Cybersecurity

Comment bloquer les lecteurs USB à l'aide des politiques de réduction de la surface d'attaque de Microsoft Intune

Configurez les stratégies de réduction de la surface d'attaque de Microsoft Intune pour empêcher l'accès aux lecteurs USB sur les appareils Windows 10/11, protégeant contre les violations de données et les menaces de logiciels malveillants grâce aux restrictions de stockage amovible.

10 etapes

IT administrator configuring Windows LAPS with Microsoft Intune on multiple monitors

Intermediaire

Cybersecurity

Comment configurer Windows LAPS avec Microsoft Intune pour une sécurité renforcée

Configurer la solution de mot de passe administrateur local Windows (LAPS) avec Microsoft Intune pour gérer et sécuriser automatiquement les mots de passe administrateur local sur les appareils Windows de votre organisation.

6 etapes

Intermediaire

Cloud Computing

Comment supprimer l'icône météo de la barre des tâches de Windows 11 à l'aide de Microsoft Intune

Créer et déployer une stratégie de configuration Intune pour désactiver le widget météo des barres des tâches Windows 11 sur les appareils de l'entreprise. Processus complet de la création de la stratégie au suivi du déploiement.

8 etapes

Tous les Tutoriels