Le cheval de Troie moderne : comment les attaquants vivent de la terre et comment les arrêter

Ulysse n'a pas ouvert une brèche dans Troie par la force brute.

Il les a infiltrés de l'intérieur, caché dans un cheval de bois que les Troyens ont pris pour un cadeau. Cette nuit-là, ses forces ont émergé et ont pris la ville de l'intérieur. ‍

C'était la tromperie parfaite : utiliser ce qui est fiable, ne pas donner d'avertissements - juste de la stratégie, de la patience et la connaissance des angles morts de l'ennemi.

Les cyberattaques les plus avancées d'aujourd'hui suivent le même schéma. Les attaquants exploitent les outils natifs déjà présents dans vos systèmes. Ils se déplacent discrètement et restent cachés. Comme Ulysse, ils utilisent ce qui leur inspire confiance pour passer inaperçus.

Outils de confiance, menaces cachées

Dans le domaine de la cybersécurité, les cyberattaques de type "living-off-the-land " (LOTL) échappent à la détection en utilisant des outils système légitimes et intégrés tels que PowerShell ou WMI.

Ces outils téléchargent des charges utiles malveillantes, se déplacent latéralement et exfiltrent des données, tout cela en même temps que le trafic réseau normal. Aucun logiciel malveillant n'est installé et aucun fichier suspect n'est déposé, ce qui explique que ces attaques passent souvent inaperçues pendant des mois.

Les attaques LOTL représentent désormais la majorité des cyberintrusions modernes. Une analyse de 2025 portant sur plus de 700 000 incidents a révélé que 84% des attaques majeures faisaient appel à des techniques LOTL.

Pourquoi sont-ils si efficaces ? Les systèmes d'exploitation sont préchargés d'outils puissants destinés aux administrateurs, et les attaquants les transforment en armes. Une fois à l'intérieur, ils utilisent ces mêmes outils pour se fondre dans la masse, maintenir l'accès et étendre discrètement leur portée.

Une analyse de plus de 700 000 incidents réalisée en 2025 a révélé que 84% des attaques majeures faisaient appel à des techniques LOTL.‍

Il est donc plus difficile de détecter les attaques de type "Living off the Land" et de les arrêter.‍

Bien que de nombreuses attaques LOTL se produisent sous Windows, l'utilisation d'outils de confiance et l'exécution de code en mémoire peuvent également s'appliquer à macOS et Linux.  

Sur macOS, les attaquants peuvent exploiter des services natifs comme AppleScript et la commande launchd pour persister et exécuter des commandes. Sous Linux, ils pouvaient s'appuyer sur Bash, SSH, les tâches cron et l'exécution en mémoire pour opérer sans écrire de fichiers sur le disque et échapper à la détection traditionnelle.

L'exploit récent de SharePoint ToolShell a-t-il "vécu de la terre" ?

En juillet 2025, Microsoft a révélé l'exploitation active de deux vulnérabilités SharePoint(CVE202553770 et CVE202553771), collectivement connues sous le nom de ToolShell.

Les failles - Linen Typhoon, Violet Typhoon et Storm2603 - affectaient les serveurs sur site orientés vers l'internet et ont été exploitées par des acteurs soutenus par l'État.

Ces groupes de menace ont utilisé les vulnérabilités pour exécuter du code à distance, voler des clés de machine, élever les privilèges et déployer des ransomwares, y compris les variantes Warlock et LockBit, sur des centaines de systèmes vulnérables.

Michael Adjei, directeur de l'ingénierie des systèmes chez Illumio, partage son point de vue sur ce qui ressort des exploits ToolShell : "Ce n'est pas seulement l'utilisation d'outils natifs - c'est la façon dont les attaquants sont passés d'un accès initial à un mouvement latéral sans déclencher les alarmes traditionnelles. Cet incident renforce une réalité essentielle : si les défenseurs se contentent de surveiller les logiciels malveillants, ils sont déjà à la traîne".

‍Ransomware+ Vivre de la terre : une combinaison puissante

Le ransomware Medusa est un autre exemple puissant de cette approche furtive.

En février 2024, le FBI et la CISA ont publié un avis commun(#StopRansomware : Medusa Ransomware) mettant en garde contre la menace croissante qu'il représente pour les infrastructures critiques. Plus de 300 organisations ont déjà été touchées, notamment des hôpitaux, des institutions financières, des écoles et des services gouvernementaux.  

Medusa ne s'appuie pas sur des journées zéro tape-à-l'œil ou des logiciels malveillants évidents. Au contraire, il se fond dans la masse en utilisant des outils fiables tels que PowerShell, WMI, RDP, SSH et des logiciels d'accès à distance tels que ScreenConnect pour se déplacer dans des environnements hybrides et éviter d'être détecté.

Les ransomwares modernes n'entrent pas par la porte d'entrée, ils se fondent dans la masse comme des espions.

‍Pourquoila NSA a tiré la sonnette d'alarme sur le LOTL

En 2024, la NSA, la CISA et des partenaires internationaux ont publié un avis commun mettant en garde contre la montée en puissance des intrusions LOTL.

Ce n'est pas une seule violation qui a déclenché ce phénomène, mais une tendance inquiétante : les acteurs de la menace avancée, y compris les groupes parrainés par l'État, utilisent de plus en plus des outils natifs pour s'infiltrer discrètement dans les infrastructures critiques.

Le point de basculement ? Des campagnes telles que Volt Typhoon, où les attaquants se sont introduits dans les systèmes de communication, d'énergie et de transport des États-Unis sans déployer de logiciels malveillants traditionnels.

L'avis était clair : les techniques LOTL étaient devenues une stratégie de choix pour les attaquants des États-nations, et les défenseurs devaient s'adapter immédiatement.

‍SolarWinds: une classe de maître en LOTL

L'un des exemples les plus anciens et les plus préjudiciables de la technique LOTL s'est produit en 2020, lorsque des acteurs de la menace ont discrètement inséré des logiciels malveillants dans une mise à jour Orion de routine de SolarWinds.

Lorsque les clients l'ont installé, les attaquants ont eu accès à certains des réseaux les plus sensibles au monde, notamment , des agences gouvernementales américaines et des entreprises du classement Fortune 500.

En utilisant des outils Windows natifs et en imitant l'activité normale d'Orion, les attaquants ont échappé à la détection pendant des mois. Le logiciel malveillant ne s'active que sur des cibles de grande valeur. Une fois à l'intérieur, l'exfiltration de données s'est généralisée et ils ont couvert leurs traces.  

La Maison Blanche a ensuite attribué l'attaque aux services de renseignement russes.

‍StoppingLOTL requires seeing what others miss

Ces attaques ne s'appuient pas sur des logiciels malveillants et utilisent les outils légitimes déjà présents dans votre réseau. Les équipes de sécurité ont besoin d'une visibilité sur la façon dont les systèmes communiquent normalement afin de pouvoir détecter les comportements inhabituels et mettre en quarantaine les menaces en temps réel.  

Les principales défenses sont les suivantes :

• Détection des mouvements latéraux: la visibilité des communications entre systèmes est essentielle pour découvrir les attaquants qui se déplacent dans les environnements.
• ‍Détection des menaces comportementales : les analyses qui identifient l'utilisation anormale d'outils natifs permettent de mettre en évidence des activités qui se fondent dans les opérations normales. ‍
• Hiérarchisation des alertes: le filtrage des comportements routiniers et la mise en évidence des schémas suspects sont essentiels lorsque les attaquants utilisent des processus fiables. ‍
• Confinement rapide: la capacité d'isoler rapidement les actifs compromis - sans attendre les signatures de logiciels malveillants - permet d'arrêter les techniques LOTL avant qu'elles ne se propagent.

Dans un monde où les attaquants vivent de la terre, les défenseurs doivent pouvoir voir et contrôler comment leur environnement est utilisé.

Découvrez comment Illumio Insights arrête les menaces LOTL avant qu'elles ne se propagent. Commencez votre Essai gratuit aujourd'hui.