Juillet 2025 – Une nouvelle campagne de cyberattaque sophistiquée a été mise au jour par les chercheurs en cybersécurité de Sekoia et Trend Micro. Cette opération, en apparence discrète, exploite des sites web compromis pour rediriger les internautes vers des serveurs malveillants, à travers une chaîne complexe de redirections multi-niveaux.
Plutôt que de se reposer sur une attaque directe, les cybercriminels misent ici sur une approche furtive et conditionnelle, ciblant uniquement les utilisateurs qui répondent à certains critères, afin d’éviter la détection par les systèmes de sécurité et les chercheurs.
Une architecture d’infection en plusieurs couches
La particularité de cette campagne réside dans sa structure en couches, qui permet de masquer le but final jusqu’au dernier moment. Le schéma d’attaque suit généralement les étapes suivantes :
Infection initiale via site compromis
L’utilisateur visite un site web légitime, souvent basé sur WordPress, qui a été compromis par les attaquants.Redirections multiples via des scripts obfusqués
Le site initial déclenche une série de redirections via du JavaScript obscurci, souvent vers plusieurs domaines relais contrôlés par les attaquants.Filtrage comportemental et environnemental
Avant de livrer la charge utile, le système analyse le profil de la victime (géolocalisation, système d’exploitation, signatures de sandbox, outils d’analyse, etc.).Déclenchement conditionnel du malware
Si l’environnement est jugé « légitime » (non-analytique, non-automatisé), l’utilisateur est redirigé vers une page contenant soit un malware, soit du phishing.
Une exploitation massive des sites WordPress vulnérables
Les attaquants ont ciblé en priorité des sites WordPress mal sécurisés. Ces derniers sont utilisés comme :
Relais de redirection : des scripts injectés dans les pages redirigent l’utilisateur vers un second domaine contrôlé par les attaquants.
Stockage de scripts malveillants : certains sites servent directement des charges utiles déguisées (ex. : fichiers JS, ZIP, EXE, extensions de navigateur).
Serveurs de commandes temporaires : les domaines changent régulièrement pour échapper aux listes de blocage.
Les chercheurs notent que le nombre de sites compromis est élevé, avec une infrastructure en constante évolution pour maintenir la pérennité de l’attaque.
Un ciblage intelligent basé sur des critères contextuels
L’un des éléments les plus pernicieux de cette campagne est sa capacité à filtrer les cibles avant de livrer son contenu malveillant. Parmi les critères utilisés :
Adresse IP et localisation géographique
Pour éviter certains pays ou services de renseignement.Empreintes de navigateur et système d’exploitation
Pour adapter la charge utile au système ciblé (Windows, macOS, Android, etc.).Présence d’outils de surveillance ou de sandbox
Pour éviter d’être analysé dans un environnement virtuel.Historique de navigation ou cookies
Pour déterminer si la cible est un utilisateur légitime ou un chercheur en sécurité.
Ce filtrage rend la détection extrêmement difficile, car la charge malveillante n’apparaît que dans des conditions très spécifiques.
Objectifs finaux : phishing, malwares, vols de données
Selon les analyses, les redirections aboutissent principalement à deux types de contenus :
Pages de phishing personnalisées
Déguisées en fausses pages de connexion (Google, Microsoft, Apple, etc.) ou en portails bancaires.Téléchargements malveillants
Faux installeurs d’outils populaires (ex. : VLC, Adobe, Zoom)
Extensions de navigateur corrompues
Fichiers ZIP ou EXE contenant des chevaux de Troie (trojans), stealers ou ransomware
Dans certains cas, les chercheurs ont également observé des malwares de type infostealer, conçus pour siphonner les informations d’identification et les données bancaires, ou encore des loaders servant à installer d’autres malwares à distance.
Évasion active et renouvellement constant des domaines
Les cybercriminels derrière cette opération démontrent une stratégie d’évasion avancée :
Changement fréquent des noms de domaine utilisés dans les redirections
Utilisation de services de CDN et d’obfuscation de DNS
Hébergement des scripts sur des services cloud temporaires
Injection dynamique de scripts via des plugins vulnérables
Ces techniques permettent de prolonger la durée de vie de la campagne et de rendre son démantèlement plus complexe pour les équipes de réponse à incident.
Recommandations pour les entreprises et les webmasters
Face à cette menace, les experts recommandent une vigilance accrue, notamment sur les plateformes web exposées. Voici quelques bonnes pratiques :
Mettre à jour régulièrement WordPress et ses extensions
Surveiller les modifications de fichiers système ou de thèmes
Mettre en place une détection comportementale côté serveur
Utiliser des solutions EDR/NGAV dotées d’analyse heuristique
Bloquer les redirections suspectes au niveau du proxy ou DNS
Mettre en quarantaine automatiquement les URL issues de sites compromis connus
Conclusion : une campagne symptomatique de l’évolution des menaces web
Cette campagne de redirections multi-niveaux marque une nouvelle étape dans la sophistication des attaques par le web. En combinant des techniques de compromission de sites légitimes, de filtrage conditionnel et de diffusion ciblée de malware, les cybercriminels parviennent à contourner les barrières classiques de sécurité.
Elle met en lumière plusieurs enjeux :
La nécessité de renforcer la sécurité des CMS open source largement utilisés
Le besoin d’une détection basée sur le comportement, et non uniquement sur des signatures
L’importance de surveiller en permanence les flux web, même lorsqu’ils semblent provenir de domaines « sûrs »
Enfin, cette attaque illustre le fait que la confiance dans les sites légitimes ne suffit plus. Dans un contexte de menaces évolutives, la sécurité web doit être abordée de manière globale, dynamique et proactive.
