ANAVEM
FrancaisEnglish
ANAVEM
Référence
Languageen
Computer screen showing fake VPN download sites used by Storm-2561 attackers

Storm-2561 distribue de faux clients VPN pour voler des identifiants

Le groupe de menace Storm-2561 utilise de faux installateurs VPN Ivanti, Cisco et Fortinet pour récolter des identifiants d'entreprise via des attaques de référencement malveillant.

Emanuel DE ALMEIDA
13 mars 2026, 14:23 2 min de lecture 5

Dernière mise à jour 13 mars 2026, 17:03

SÉVÉRITÉÉlevé
EXPLOITExploit Actif
CORRECTIFNon Disponible
ÉDITEURMultiple (Ivanti, Cisco, Fortinet)
AFFECTÉSIvanti Connect Secure, Cisco A...
CATÉGORIECyberattaques

Points Clés

  • Menace : Storm-2561 distribue des clients VPN malveillants se faisant passer pour des grands fournisseurs
  • Impact : Vole les identifiants VPN d'entreprise des organisations ciblées
  • Méthode : Empoisonnement SEO pour classer les faux sites de téléchargement dans les résultats de recherche
  • Fournisseurs : Cible les utilisateurs VPN d'Ivanti, Cisco et Fortinet

Storm-2561 lance une campagne de faux VPN

Un acteur malveillant désigné Storm-2561 a lancé une campagne sophistiquée distribuant de faux clients VPN qui imitent des logiciels légitimes d'Ivanti, Cisco et Fortinet. Le groupe utilise des techniques de référencement empoisonné pour manipuler les classements des moteurs de recherche, poussant les sites de téléchargement malveillants en tête des résultats de recherche lorsque les utilisateurs recherchent des logiciels VPN d'entreprise.

Les faux installateurs imitent de près les clients VPN authentiques mais contiennent des logiciels malveillants de collecte d'identifiants conçus pour voler les informations de connexion des utilisateurs d'entreprise. Les chercheurs en sécurité ont documenté les détails techniques et les méthodes de distribution de la campagne.

Utilisateurs de VPN d'entreprise en danger

La campagne cible spécifiquement les organisations utilisant des solutions VPN d'entreprise de trois grands fournisseurs. Les entreprises qui dépendent d'Ivanti Connect Secure, Cisco AnyConnect et Fortinet FortiClient courent le plus grand risque si les employés téléchargent des logiciels à partir de résultats de recherche compromis.

Les administrateurs informatiques et les utilisateurs finaux recherchant des téléchargements de clients VPN via les moteurs de recherche sont les principales cibles. L'acteur malveillant exploite la pratique courante de télécharger des logiciels d'entreprise via des recherches sur le web plutôt que par les portails officiels des fournisseurs.

Le référencement empoisonné livre des téléchargements malveillants

Storm-2561 utilise des techniques de référencement black hat pour améliorer le classement des sites web malveillants pour les mots-clés liés aux VPN. Lorsque les utilisateurs recherchent des clients VPN légitimes, les résultats empoisonnés apparaissent en bonne place, conduisant les victimes à télécharger des installateurs trojanisés.

Les faux clients VPN fonctionnent partiellement pour éviter une détection immédiate tout en transmettant secrètement les identifiants volés à une infrastructure contrôlée par les attaquants. Les organisations devraient vérifier que tous les téléchargements de logiciels VPN proviennent directement des sites web officiels des fournisseurs et mettre en œuvre une liste blanche d'applications pour empêcher les installations non autorisées de clients VPN.

Questions Fréquentes

Comment Storm-2561 distribue-t-il de faux clients VPN ?+
Storm-2561 utilise l'empoisonnement SEO pour classer les sites de téléchargement malveillants en tête des résultats de recherche pour les logiciels VPN, trompant les utilisateurs en leur faisant télécharger de faux installateurs.
Quels fournisseurs de VPN sont ciblés par Storm-2561 ?+
Le groupe de menace crée de faux clients se faisant passer pour les logiciels VPN Ivanti Connect Secure, Cisco AnyConnect et Fortinet FortiClient.
Comment les organisations peuvent-elles se protéger contre les faux téléchargements de VPN ?+
Téléchargez le logiciel VPN uniquement à partir des sites Web officiels des fournisseurs, mettez en œuvre une liste blanche d'applications et vérifiez l'authenticité de l'installateur avant le déploiement.
Emanuel DE ALMEIDA
À propos de l'auteur

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#storm-2561#seo-poisoning#vpn-malware

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...

Tutoriels Associes

Approfondissez ce sujet avec nos guides pas a pas

Computer screen showing Outlook desktop email synchronization interface
Intermediaire
Microsoft 365

Comment dépanner et résoudre les problèmes de synchronisation d'Outlook Desktop en 2026

Résolvez les problèmes de synchronisation d'Outlook Desktop avec ce guide en 8 étapes pour Outlook classique 2016/2019/2021/M365 sous Windows. Couvre le mode hors ligne, la réparation OST, la recréation de profil, les exceptions antivirus et les bonnes pratiques pour les fichiers PST.

8 etapes15 min
Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)
Debutant
Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Windows 11 26H1 est une version ARM64 uniquement (Build 28000, nom de code Bromine) pour les appareils Snapdragon X2 et Nvidia N1X — pas une mise à jour universelle. Découvrez les nouveautés et comment l'installer.

9 etapes
IT administrator managing Windows 11 devices through Microsoft Intune admin center
Intermediaire
Cloud Computing

Supprimer l'icône météo de la barre des tâches de Windows 11 via Microsoft Intune

Supprimez le widget Météo de la barre des tâches Windows 11 à l'échelle de l'entreprise via le Catalogue de paramètres Microsoft Intune — désactivez News and Interests avec suivi du déploiement inclus.

8 etapes
Tous les Tutoriels

Intelligence Liée

Dark server room with glowing racks and red warning lights creating dramatic shadows
Eleve
Cyberattaques

Les attaques sur le cloud exploitent de nouvelles failles en quelques jours.

9 mars, 22:452 min
Healthcare data center with servers and warning lights indicating security breach
Eleve
Data Breaches

Violation de Cognizant TriZetto expose 3,4 millions de dossiers de patients

6 mars, 20:502 min
Empty grocery store interior with glowing smartphone screens showing login prompts
Moyen
Violations de données

Loblaw déconnecte tous les utilisateurs après un incident de sécurité

12 mars, 22:322 min
Vintage industrial control panel with analog gauges and switches in dimly lit facility
Moyen
Vulnérabilités

Contrôleurs industriels hérités vendus sur eBay exposent l'infrastructure critique

11 mars, 23:032 min