nous contacter
Menu
Search
0 article 0,00
0 article 0,00

Cyberattaques : Microsoft ClickOnce et AWS ciblent l’énergie

  • Mis en ligne le

Antoine Stamati

Directeur Général POWERI ITI

LinkedIn

Agenda

Les pirates derrière la campagne OneClik exploitent habilement les fonctionnalités légitimes de Microsoft ClickOnce et des services cloud Amazon Web Services (AWS) pour compromettre des entreprises du secteur énergétique.

Cette attaque sophistiquée se distingue par sa capacité à dissimuler efficacement ses activités malveillantes derrière des outils officiels.

Les chercheurs en sécurité ont identifié des similitudes avec des groupes d’attaquants basés en Chine, bien que l’attribution définitive reste complexe.

Les hackers détournent astucieusement la technologie de déploiement ClickOnce, conçue initialement pour faciliter l’installation d’applications Windows, à des fins malveillantes.

Les secteurs de l’énergie constituent la cible principale de cette campagne d’attaques, qui illustre une tendance préoccupante : l’utilisation croissante d’infrastructures cloud légitimes pour héberger et distribuer des logiciels malveillants.

Les experts recommandent aux organisations de renforcer leur surveillance des applications ClickOnce et d’implémenter des contrôles stricts sur l’utilisation des services cloud.


Besoin d’une base solide en informatique ?  

Comprendre la mécanique de l’attaque OneClik

La campagne OneClik se distingue par son exploitation ingénieuse d’outils informatiques quotidiens.

D’un côté, Microsoft ClickOnce, conçu pour simplifier l’installation d’applications Windows. De l’autre, les services cloud AWS, piliers essentiels du numérique moderne.

La force de cette attaque réside précisément dans sa banalité apparente.

Les cybercriminels ont compris qu’utiliser des outils familiers constitue la meilleure stratégie pour échapper à la détection.

L’attaque commence généralement par un email soigneusement falsifié. Ce message invite l’utilisateur à cliquer sur un lien vers un faux site d’analyse matérielle.

La victime télécharge alors un fichier .APPLICATION typique de ClickOnce, qui n’éveille aucun soupçon.

En arrière-plan, un loader .NET – nommé OneClikNet – prépare le terrain en injectant un logiciel malveillant sans demander de droits administrateur.

L’utilisateur, croyant installer un outil légitime, déclenche ainsi la compromission de son système sans aucune alerte Windows.

La stratégie va plus loin. Pour rendre leurs communications indétectables, les attaquants font transiter leurs échanges avec le backdoor RunnerBeacon via les services AWS (Cloudfront, Lambda, API Gateway).

Le trafic malveillant se fond alors dans les flux cloud habituels, effaçant la distinction entre activité légitime et intrusion.

On comprend pourquoi cette campagne pose tant de difficultés aux TPE et PME, qui manquent de ressources pour surveiller chaque aspect de leur environnement cloud.

Pourquoi ClickOnce séduit les hackers (et doit nous alerter)

Pour la majorité des PME, ClickOnce représente une solution pratique. Fini les déploiements laborieux ou les installations complexes à distance – tout s’effectue “en un clic”.

Mais ce confort même transforme cette technologie en arme à double tranchant.

Les applications ClickOnce s’exécutent avec les droits de l’utilisateur, sans validation supplémentaire, et sont hébergées sur des serveurs considérés comme fiables.

Un comportement idéal pour un attaquant cherchant la discrétion.

L’astuce réside également dans la façon dont le loader OneClik détourne les procédures standard du framework .NET.

En utilisant le mécanisme d’injection AppDomainManager, il charge en mémoire des exécutables légitimes (comme ZSATray.exe ou umt.exe), mais détourne leur fonctionnement au profit du malware.

Pour un observateur non averti, rien n’indique la supercherie.

Tout semble fonctionner normalement. Un antivirus ou une supervision classique – particulièrement dans une petite structure – risque de ne rien détecter.

RunnerBeacon : un backdoor taillé pour la discrétion et l’efficacité

Le cœur de la menace s’incarne dans RunnerBeacon, un programme de contrôle à distance codé en Golang (langage privilégié par de nombreux groupes APT).

Ce backdoor chiffre toutes ses communications et fonctionne via des messages modulaires : reconnaissance réseau, exécution de commandes, transfert de fichiers, création de tunnels réseau…

L’arsenal complet pour offrir aux pirates un accès total, silencieux et persistant.

RunnerBeacon intègre même des techniques pour compliquer l’analyse (obfuscation, variation des intervalles de communication) et pour résister aux environnements de test (sandbox).

Certaines commandes avancées permettent l’injection de processus ou l’élévation de privilèges, augmentant considérablement les risques pour les entreprises ciblées.

Les experts notent l’inspiration évidente des outils open source comme Geacon, mais RunnerBeacon apporte sa signature propre : plus furtif, mieux adapté au cloud, plus difficile à tracer.

Une attribution complexe, mais un mode opératoire révélateur

Attribuer une campagne à un acteur spécifique reste délicat.

Les chercheurs ont identifié plusieurs indices pointant vers des groupes liés à la Chine, notamment la réutilisation de certaines techniques (.NET AppDomainManager injection) et la préférence pour les infrastructures cloud étrangères.

Toutefois, l’absence de signature explicite impose la prudence.

Ce que l’on peut affirmer, c’est que cette opération illustre l’évolution des attaques : le cloud n’est plus simplement une cible, il devient un camouflage pour des attaques de cybersécurité.

Pour une TPE ou une PME, cette réalité appelle à deux réflexes essentiels :

  • D’abord, ne jamais présumer qu’un usage “standard” des outils Microsoft 365 ou AWS garantit une protection complète. La sécurité implique aussi de surveiller les usages supposés sûrs.
  • Ensuite, solliciter un accompagnement pour l’audit régulier des configurations cloud, car les menaces ciblent précisément les angles morts.

Risques concrets pour les TPE et PME : simplicité, mais vigilance nécessaire

Pour les petites entreprises qui externalisent leur IT ou fonctionnent avec des ressources limitées, ce type d’attaque soulève trois préoccupations majeures :

  1. La confiance dans le cloud : Les services hébergés offrent agilité et continuité d’activité, mais nécessitent une vigilance constante. Un outil mal configuré ou une application installée sans vérification peut ouvrir la voie à des attaques bien plus sophistiquées qu’un simple ransomware.
  2. La supervision des installations : Interdire les macros ou les pièces jointes suspectes ne suffit plus. Il faut désormais intégrer dans la politique de sécurité la surveillance de tous les flux applicatifs (ClickOnce inclus), et imposer des règles de validation même pour les déploiements “automatiques”.
  3. La collaboration avec un partenaire IT de confiance : La complexité croissante des attaques rend illusoire l’ambition de tout maîtriser en interne. Même avec une bonne vigilance, la détection de signaux faibles (comme le détournement de flux AWS) exige des outils et une expertise de plus en plus spécialisés.

L’accompagnement POWERiti : entre anticipation et résilience

Chez POWERiti, ces enjeux s’alignent parfaitement avec notre philosophie d’accompagnement.

Nous constatons régulièrement que la sécurité ne se limite pas à l’installation de “verrous”, mais repose sur une compréhension fine des usages, des risques et des besoins métiers.

Ce n’est pas un hasard si les TPE nous demandent “comment être sûrs que mes fichiers M365 sont vraiment protégés ?” ou “qui va surveiller si une appli inconnue s’installe chez moi ?”

Notre approche combine proximité humaine et technologie avancée.

Cela inclut une veille continue sur les modèles d’attaque émergents, la mise à jour régulière des contrôles (applications cloud, flux d’installation, accès externes), et surtout la capacité à conseiller sans jargon, sans alarmer inutilement.

L’objectif n’est pas d’instaurer la peur, mais de bâtir un environnement où la sérénité numérique repose sur un partenariat solide, adapté aux spécificités de chaque entreprise.

Quelques bonnes pratiques à retenir (sans sombrer dans la paranoïa)

  • Privilégier l’installation d’applications uniquement depuis des sources validées.
  • Activer la surveillance des connexions sortantes vers le cloud, y compris pour les flux réputés “sûrs”.
  • Mettre en place, avec l’aide de votre partenaire, une politique d’audit régulier de la configuration Microsoft

La campagne OneClik démontre l’intensification alarmante de la sophistication des cyberattaques qui détournent désormais des outils légitimes pour masquer leurs activités malveillantes.

Pour les TPE et PME, il est essentiel de comprendre que la cybersécurité dépasse la simple protection des systèmes et nécessite une compréhension approfondie des outils utilisés quotidiennement.

La protection efficace exige une approche proactive incluant la collaboration avec des experts en sécurité et le déploiement de solutions de surveillance personnalisées adaptées à votre environnement informatique.

Face à ces menaces en constante évolution, rappelez-vous que la sécurité numérique n’est pas une action ponctuelle mais un effort collectif et continu qui implique l’ensemble de votre organisation et vos partenaires technologiques.

Sources : https://www.bleepingcomputer.com/news/security/oneclik-attacks-use-microsoft-clickonce-and-aws-to-target-energy-sector/

Partagez cet article 👇
Facebook X-twitter Pinterest Telegram Linkedin
À propos de l'auteur
Antoine Stamati
Après plus de 20 ans à diriger des structures IT, il s’est associé à Jantien Rault pour créer POWER iti avec une idée simple : remettre de la clarté, de la sécurité et du bon sens dans l’informatique des PME.

🔹 Objectif : que l’informatique redevienne un soutien, pas une source de stress
🔹 Vision : parler simplement de cybersécurité, innover sans jargon, accompagner sans contraindre
🔹 Engagement : des services sans engagement, choisis chaque mois pour leur valeur

Articles en lien

Voir tous les articles
Microsoft 365 Business premium en détails
Mise à jour Windows 10 : sécurisez votre PC avec des points Microsoft !
Malware : vos photos et crypto volés sur Play et App Store

Vous pensez être victime de cybermalveillance ? Signaler la situation ➡️

MySerenity

Solutions

Ressources

Entreprise

Clients

Store

Logo Poweriti

Partenaire des réseaux

French Tech - Écosystème pour les startups en France
Logo Escrim - Réseau d'acteurs IT et bureautique en France
CJD - Réseau de jeunes dirigeants en France
BNI - Réseau de networking professionnel
EBEN - Fédération des entreprises de la bureautique et du numérique
Icône Instagram Pour Accéder Au Compte Instagram De PowerITI Et Découvrir Nos Conseils En Cybersécurité Et Nos Solutions IT Pour PME. Icône LinkedIn Pour Accéder Au Profil LinkedIn De PowerITI Et Suivre Nos Actualités En Cybersécurité Et Solutions IT Pour PME.

Le Victoria, 149 Rue Jean Dausset, 84140 Avignon +04 120 40 190

Mon panier
Fermer
Se connecter
Fermer

Pas encore de compte ?

Comment à saisir un mot