{"id":145193,"date":"2025-07-25T09:07:49","date_gmt":"2025-07-25T16:07:49","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=145193"},"modified":"2025-08-14T06:40:51","modified_gmt":"2025-08-14T13:40:51","slug":"muddled-libra","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/muddled-libra\/","title":{"rendered":"\u00c9valuation des menaces de Muddled Libra\u00a0: un groupe plus puissant, plus rapide, plus redoutable"},"content":{"rendered":"

<\/a>Avant-propos<\/h2>\n

Unit 42 a suivi et r\u00e9pondu \u00e0 plusieurs vagues d\u2019intrusions men\u00e9es par le groupe cybercriminel connu sous le nom de Muddled Libra (alias Scattered Spider, UNC3944) dans divers secteurs au cours de ces derniers mois. Ce blog pr\u00e9sente les observations sur Muddled Libra en 2025, bas\u00e9es sur nos analyses issues de nos r\u00e9ponses aux incidents. Nous pr\u00e9sentons des recommandations de d\u00e9fense \u00e9prouv\u00e9es, d\u00e9j\u00e0 utilis\u00e9es avec succ\u00e8s par plusieurs organisations face \u00e0 cette menace. Nous \u00e9voquons \u00e9galement les perspectives d\u2019avenir de cet adversaire prolifique.<\/p>\n

Les activit\u00e9s r\u00e9centes de Muddled Libra font suite \u00e0 une s\u00e9rie d\u2019op\u00e9rations men\u00e9es par les forces de l\u2019ordre internationales, visant \u00e0 perturber le groupe \u00e0 la mi-2024 et fin 2024, notamment par des inculpations f\u00e9d\u00e9rales<\/a> contre cinq membres pr\u00e9sum\u00e9s en novembre\u00a02024. Depuis lors, Muddled Libra est r\u00e9apparu avec davantage de ressources, faisant \u00e9voluer ses techniques pour mener des op\u00e9rations plus \u00e9tendues, plus rapides et plus percutantes.<\/p>\n

Les clients de Palo\u00a0Alto\u00a0Networks b\u00e9n\u00e9ficient d\u2019une meilleure protection contre les menaces d\u00e9crites dans ce blog gr\u00e2ce \u00e0 une architecture de s\u00e9curit\u00e9 moderne reposant sur Cortex XSIAM<\/a> combin\u00e9 \u00e0 Cortex XDR<\/a>. En effet, le filtrage avanc\u00e9 d\u2019URL<\/a> et les services Cloud-Delivered Security Services<\/a> de DNS Security<\/a> peuvent contribuer \u00e0 la protection contre les infrastructures de commande et contr\u00f4le (C2), tandis que la technologie App-ID<\/a> peut limiter les services d\u2019anonymisation autoris\u00e9s \u00e0 se connecter au r\u00e9seau.<\/p>\n

Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a>.<\/p>\n\n\n\n
Unit\u00a042 -\u00a0Th\u00e9matiques connexes<\/b><\/td>\nMuddled Libra<\/b><\/a> (Scattered Spider<\/a><\/strong>, Scatter Swine<\/strong><\/a>), 0ktapus<\/strong><\/a>, Social Engineering<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n

<\/a>Vue d\u2019ensemble des menaces de Muddled Libra<\/h2>\n

Comme le montrent les pr\u00e9c\u00e9dentes publications de Unit\u00a042 sur Muddled Libra<\/a>, ce groupe ma\u00eetrise parfaitement diverses techniques d\u2019ing\u00e9nierie sociale (notamment le smishing et le vishing) pour obtenir un acc\u00e8s initial aux organisations cibl\u00e9es. Ces activit\u00e9s peuvent inclure le ciblage de centres d\u2019appels exploit\u00e9s par les victimes elles-m\u00eames, mais aussi de ceux externalis\u00e9s aupr\u00e8s de prestataires tiers (comme des BPO ou MSP), \u00e9largissant ainsi le champ d\u2019action potentiel du groupe.<\/p>\n

Les attaquants de Muddled Libra sont devenus experts dans l\u2019exploitation de la psychologie humaine, en se faisant passer pour des employ\u00e9s afin de tenter de r\u00e9initialiser des mots de passe et des m\u00e9canismes d\u2019authentification multifacteur (MFA). La figure 1 ci-dessous illustre plus en d\u00e9tail la composition de Muddled Libra en termes de profil d\u00e9mographique, de techniques m\u00e9tier, de ciblage des victimes et d\u2019actions men\u00e9es pour atteindre leurs objectifs.<\/p>\n

\"Quatre
Figure 1. Profil de menace de Muddled Libra.<\/figcaption><\/figure>\n

Bien que ses techniques m\u00e9tier aient \u00e9volu\u00e9 au fil du temps, Muddled Libra continue de minimiser l\u2019utilisation de malwares tout au long de la cha\u00eene d\u2019attaque. Dans la mesure du possible, les attaquants pr\u00e9f\u00e8rent utiliser les ressources propres de la victime contre elle.<\/p>\n

<\/a>Chronologie de la victimologie\u00a0: un impact \u00e0 plus grande port\u00e9e<\/h2>\n

En 2025, nous avons observ\u00e9 des intrusions dans les secteurs publics, du retail, de l\u2019assurance et de l\u2019aviation, comme le montre la figure\u00a02 ci-dessous. Ce groupe a montr\u00e9 une tendance \u00e0 cibler plusieurs organisations au sein d\u2019un m\u00eame secteur sur une p\u00e9riode relativement courte. Cependant, les attaquants ne suivent pas strictement ce sch\u00e9ma et ont simultan\u00e9ment vis\u00e9 des organisations \u00e9voluant dans des secteurs diff\u00e9rents.<\/p>\n

\"Chronologie
Figure 2. Chronologie du ciblage sectoriel par Muddled Libra en 2025.<\/figcaption><\/figure>\n

<\/a>La strat\u00e9gie de Muddled Libra\u00a0: \u00eatre plus rapide<\/h2>\n

Jusqu\u2019\u00e0 pr\u00e9sent en 2025, les cas observ\u00e9s montrent un passage du smishing et de l\u2019hame\u00e7onnage vers des interactions humaines plus directes, ainsi qu\u2019une adoption du mod\u00e8le ransomware-as-a-service (RaaS), ce qui a consid\u00e9rablement r\u00e9duit la dur\u00e9e de pr\u00e9sence de cet acteur dans les environnements compromis. Le temps moyen entre l\u2019acc\u00e8s initial et le confinement \u00e9tait de 1\u00a0jour, 8\u00a0heures et 43\u00a0minutes.<\/p>\n

Depuis au moins avril 2025, le groupe collabore avec le programme DragonForce RaaS, exploit\u00e9 par le groupe que nous suivons sous le nom de Slippery Scorpius, pour extorquer ses victimes. Dans un cas, nous avons observ\u00e9 des attaquants exfiltrer plus de 100\u00a0Go de donn\u00e9es sur une p\u00e9riode de deux\u00a0jours, avec un chiffrement via le d\u00e9ploiement du ransomware DragonForce.<\/p>\n

La figure 3 ci-dessous illustre comment le groupe a pu passer d\u2019un acc\u00e8s initial via l\u2019ing\u00e9nierie sociale d\u2019un employ\u00e9 du helpdesk, \u00e0 une escalade des privil\u00e8ges, puis aux droits d\u2019administrateur de domaine en l\u2019espace de 40\u00a0minutes environ, comme nous l\u2019avons d\u00e9j\u00e0 indiqu\u00e9 dans notre Rapport mondial de r\u00e9ponse \u00e0 incident\u00a02025<\/a>.<\/p>\n

\"Diagramme
Figure 3. Vitesse de l\u2019intrusion de Muddled Libra \u00e0 partir de l\u2019acc\u00e8s initial \u00e0 l\u2019administrateur du domaine.<\/figcaption><\/figure>\n

<\/a>L\u2019\u00e9volution de Muddled Libra\u00a0: plus d\u2019impact<\/h2>\n

La figure\u00a04 illustre les \u00e9volutions observ\u00e9es dans les techniques m\u00e9tier de Muddled\u00a0Libra, qui renforcent l\u2019impact du groupe.<\/p>\n

\"Organigramme
Figure\u00a04. \u00c9volution des techniques m\u00e9tier de Muddled\u00a0Libra.<\/figcaption><\/figure>\n

<\/a>Acc\u00e8s initial<\/h3>\n

(T1566.004<\/a>)<\/p>\n

Transition vers l\u2019hame\u00e7onnage vocal (dit \u00ab\u00a0vishing\u00a0\u00bb) comme principale technique d\u2019ing\u00e9nierie sociale, visant \u00e0 manipuler le personnel du helpdesk pour r\u00e9initialiser les identifiants et l\u2019authentification multifacteur (MFA) des employ\u00e9s usurp\u00e9s par les attaquants. Plus de 70\u00a0% des num\u00e9ros utilis\u00e9s par ce groupe en 2025 exploitaient Google Voice comme service VoIP.<\/p>\n

Par exemple, Muddled Libra appelle g\u00e9n\u00e9ralement le helpdesk d\u2019une organisation en se faisant passer pour un utilisateur ayant perdu l\u2019acc\u00e8s \u00e0 son dispositif\u00a0MFA. En exploitant la tendance naturelle des agents du helpdesk \u00e0 vouloir aider, les cybercriminels les manipulent pour contourner les contr\u00f4les d\u2019authentification de l\u2019organisation et r\u00e9initialiser \u00e0 la fois les identifiants et la m\u00e9thode MFA de l\u2019utilisateur final. Un autre exemple consiste \u00e0 appeler directement une victime en se faisant passer pour le helpdesk de son organisation. Dans ce cas, les cybercriminels manipulent la victime pour qu\u2019elle lance ou t\u00e9l\u00e9charge un logiciel de gestion \u00e0 distance, puis poursuivent l\u2019attaque depuis le poste de travail de la victime.<\/p>\n

<\/a>Persistance et lat\u00e9ralisation<\/h3>\n

Les attaquants utilisent divers outils de gestion et de surveillance \u00e0 distance (RMM) qui leur permettent de r\u00e9int\u00e9grer le syst\u00e8me en cas de d\u00e9tection. Leur ciblage porte fr\u00e9quemment sur les outils de gestion des syst\u00e8mes existants, ainsi que sur les plateformes de d\u00e9tection et r\u00e9ponse des points de terminaison (EDR), sans oublier les hyperviseurs et les outils de gestion cloud.<\/p>\n

<\/a>Acc\u00e8s aux identifiants<\/h3>\n

(T1003.003<\/a>, T1555.005<\/a>)<\/p>\n

Extraction d\u2019identifiants depuis des coffres-forts \u00e0 mots de passe, y compris le fichier NTDS.dit, pour acc\u00e9der aux magasins de mots de passe d\u2019entreprise et compromettre l\u2019Active\u00a0Directory.<\/p>\n

<\/a>Collecte<\/h3>\n

(T1114.002<\/a>, T1213.002<\/a>)<\/p>\n

Acc\u00e8s aux environnements Microsoft\u00a0365 et SharePoint des victimes pour mener des op\u00e9rations de reconnaissance interne.<\/p>\n

<\/a>Exfiltration<\/h3>\n

(T1567.002<\/a>)<\/p>\n

Transfert des donn\u00e9es vol\u00e9es vers des services de stockage cloud, parfois directement depuis les environnements des victimes.<\/p>\n

<\/a>Le t\u00e9moignage de deux victimes\u00a0: politiques d\u2019acc\u00e8s conditionnel<\/h2>\n

Les organisations utilisant Microsoft Entra ID pour la gestion des identit\u00e9s et des acc\u00e8s dans le cloud (IAM) peuvent consid\u00e9rablement perturber les intrusions de Muddled Libra en mettant en \u0153uvre correctement les politiques d\u2019acc\u00e8s conditionnel (CAP).<\/p>\n

Dans le cadre des activit\u00e9s malveillantes de Muddled\u00a0Libra, nous avons constat\u00e9 une nette diff\u00e9rence dans la capacit\u00e9 des organisations \u00e0 ralentir les attaquants apr\u00e8s intrusion et \u00e0 faciliter des actions de confinement plus efficaces lorsque les politiques d\u2019acc\u00e8s conditionnel (CAP) sont en place, limitant ainsi leur impact global. Dans les cas o\u00f9 les victimes n\u2019avaient pas mis en place de politiques d\u2019acc\u00e8s conditionnel ou si celles-ci \u00e9taient mal configur\u00e9es, Muddled Libra a pu acc\u00e9l\u00e9rer son rythme op\u00e9rationnel pour d\u00e9ployer des ransomwares (le plus r\u00e9cent \u00e9tant DragonForce) et extorquer des paiements.<\/p>\n

Voici quelques exemples sp\u00e9cifiques de politiques d\u2019acc\u00e8s conditionnel qui ont permis de ralentir Muddled Libra\u00a0:<\/p>\n