ConnectWise ScreenConnect en tête de la liste des RAT les plus utilisés lors des attaques de 2025

Un nouveau rapport de Cofense Intelligence révèle une tendance inquiétante en matière de cyberattaques : les criminels détournent de plus en plus d'outils d'accès à distance (RAT ) légitimes pour infiltrer les systèmes informatiques. Contrairement aux logiciels malveillants spécifiquement conçus pour le piratage, ces outils sont conçus à des fins légales et sont souvent utilisés par les professionnels de l'informatique en entreprise. Leur authenticité les rend particulièrement dangereux, car ils peuvent contourner les mesures de sécurité traditionnelles et éveiller les soupçons des utilisateurs.

Les acteurs malveillants exploitent la confiance intrinsèque accordée à ces outils pour accéder aux machines de leurs victimes, comme l'ont souligné les chercheurs dans un article de blog partagé avec Hackread.com. Une fois installés, ces RAT légitimes deviennent une passerelle pour diffuser d'autres programmes malveillants, espionner les activités des utilisateurs ou voler des informations sensibles comme des mots de passe et des documents commerciaux confidentiels. La polyvalence de ces outils, combinée à leur apparence de logiciels fiables, en fait une arme redoutable aux mains des cybercriminels.

Cofense Intelligence a mis en évidence plusieurs RAT légitimes fréquemment utilisés à mauvais escient. ConnectWise ScreenConnect , anciennement ConnectWise Control et ScreenConnect, est devenu le choix le plus populaire auprès des attaquants en 2024, apparaissant dans 56 % des signalements de menaces actives impliquant des RAT légitimes.

« ConnectWise RAT est l'outil d'accès à distance légitime le plus couramment utilisé et représentait 56 % de tous les rapports de menaces actives (ATR) avec des outils d'accès à distance légitimes en 2024 », a écrit Kahng An de l'équipe de renseignement de Cofense dans son rapport .

Sa popularité a encore augmenté en 2025, les volumes d'attaques actuels atteignant déjà ceux observés l'année dernière. Un autre outil, FleetDeck, a connu une forte augmentation de son utilisation durant l'été 2024, ciblant notamment les germanophones et les francophones avec des leurres à thème financier.

Les attaquants emploient diverses méthodes pour inciter leurs victimes à installer ces outils. Parmi les campagnes notables de ConnectWise ScreenConnect, on compte l'usurpation de l'identité de l'administration américaine de la sécurité sociale avec des courriels prétendant proposer des relevés de prestations mis à jour.

Ces e-mails contiennent souvent des liens vers de faux fichiers PDF ou directement vers l'installateur RAT. Une autre tactique observée depuis le 5 février 2025 consiste à envoyer des e-mails se faisant passer pour des notifications de fichiers partagés sur « filesfm », incitant les victimes à télécharger un client OneDrive apparemment légitime, qui est en fait l'installateur RAT de ConnectWise.

Selon Cofense, d'autres RAT légitimes sont également exploités. Atera, une suite complète de surveillance et de gestion à distance qui s'intègre à des outils comme Splashtop, est utilisée depuis octobre 2024 dans des campagnes ciblant les lusophones au Brésil avec de fausses mentions légales et factures.

Des RAT plus petits et moins courants comme LogMeIn Resolve (GoTo RAT), Gooxion RAT, PDQ Connect, Mesh Agent, N-Able et Teramind ont également été observés dans diverses campagnes, souvent localisées.

La facilité et le faible coût d'acquisition de ces outils permettent aux attaquants de passer rapidement d'un outil à l'autre, ce qui constitue un défi permanent pour la protection de la cybersécurité, ont conclu les chercheurs de Cofense, ajoutant que de telles campagnes sont généralement des événements ponctuels difficiles à maintenir.

Ces campagnes sont généralement ponctuelles et ne semblent pas durables. Il est possible que les pirates informatiques passent rapidement d'un RAT à l'autre en raison du grand nombre d'options disponibles sur le marché.