Cibercrimen : les groupes exploitent la faille Citrix Bleed 2 et affinent leurs techniques
La cybersécurité est en première ligne avec l’exploitation accrue de la faille Citrix Bleed 2 (CVE-2025-5777) par des groupes criminels. Selon un rapport récent d’Arctic Wolf, les affiliés du rançongiciel Anubis utilisent cette vulnérabilité pour pénétrer les réseaux d’entreprises. Ils combinent cette intrusion initiale avec des identifiants VPN compromis, tels que ceux de Cisco AnyConnect, pour accéder aux systèmes visés.
Une fois à l’intérieur, ces acteurs malveillants déploient des outils d’administration à distance légitimes, comme ScreenConnect ou Zoho Assist, rendant leur détection plus complexe pour les équipes de sécurité. Pour consolider leur accès et se déplacer latéralement, ils exploitent le protocole RDP et des outils comme PsExec, ciblant des serveurs critiques tels que les contrôleurs de domaine et les systèmes de sauvegarde. Ils n’hésitent pas à manipuler les systèmes, allant jusqu’à désactiver des protections antivirus comme Windows Defender ou à supprimer des agents de sécurité avant de lancer le chiffrement des données.
L’analyse révèle également des techniques sophistiquées d’exfiltration de données via des outils comme rclone ou WinSCP, et l’établissement de tunnels Cloudflare pour sécuriser leurs communications. Le rançongiciel Anubis, actif depuis fin 2024, cible principalement les secteurs de la santé, des services aux entreprises, de l’industrie, de la technologie et de la finance, avec une forte prévalence des attaques aux États-Unis, suivis par le Royaume-Uni, l’Australie, la France et le Canada.
L’évolution des tactiques : The Gentlemen et les alliances inédites
Parallèlement, le groupe The Gentlemen se distingue par l’utilisation d’une vulnérabilité zero-day découverte dans un pilote tiers (ktapi.sys), permettant de désactiver des solutions de sécurité majeures telles que celles de Microsoft, ESET, Palo Alto Networks et SentinelOne. Cette technique leur confère un accès au niveau du noyau du système, leur permettant de neutraliser les défenses en quelques secondes, même sur les versions les plus sécurisées de Windows.
L’écosystème des rançongiciels est également marqué par des alliances stratégiques. Le partenariat entre Vect et TeamPCP, annoncé en mars, permet à Vect de déployer son rançongiciel sur les réseaux déjà compromis par TeamPCP, notamment suite à des attaques sur des projets open-source comme Trivy et LiteLLM.
Ces évolutions montrent une adaptation constante des cybercriminels, exploitant des failles critiques pour infiltrer les réseaux, utilisant des outils légitimes pour masquer leurs activités, et développant des stratégies d’évitement des protections pour mener à bien leurs attaques, faisant de la vigilance et de la mise à jour constante des systèmes une priorité absolue pour les entreprises.









