Nous contacter
Phishing via campagne Sharepoint
Retex
2 minutes

Phishing avancé : comment une attaque furtive détourne Microsoft SharePoint et Cloudflare

Une campagne de phishing particulièrement sophistiquée a récemment été détectée par notre équipe. En s'appuyant sur des services cloud légitimes tels que Microsoft SharePoint et Cloudflare Workers, les attaquants parviennent à contourner les protections traditionnelles tout en exploitant la confiance entre entreprises.

Dans cet article, nous analysons les mécanismes de cette attaque furtive et partageons nos recommandations concrètes pour vous protéger efficacement.

Recevez nos derniers articles

Saisissez votre adresse e-mail pour commencer à recevoir nos dernières actualités.

    Suivez-nous pour
    ne rien louper

    @cyna

    Partager l'article

    Une campagne de phishing avancée identifiée par notre équipe

    Durant ce trimestre, notre équipe a identifié une campagne de phishing avancée et particulièrement furtive, exploitant des services cloud légitimes comme Microsoft SharePoint et des Cloudflare Workers.

    Pourquoi cette attaque est-elle préoccupante ?

    • Exploitation de la confiance inter-entreprises : un premier compte compromis sert à piéger ses contacts professionnels.
    • Aucun signe classique de phishing : l’attaque repose sur des partages Microsoft authentiques afin de gagner la confiance des victimes. La pièce est hébergée sur le SharePoint d’une victime déjà compromise.
    • Ciblage précis : uniquement des noms de domaine professionnels, avec une priorité sur les dirigeants et profils à fort niveau d’accès.
    • Détournement de la sécurité Microsoft : le lien malveillant redirige vers un Cloudflare Worker qui charge dynamiquement une page d’authentification Microsoft hébergée sur un site WordPress compromis (technique de phishing transparent).

    Une attaque silencieuse, résiliente et difficilement détectable

    L’infrastructure de cette attaque repose sur une chaîne complexe, masquant les serveurs de commande et de contrôle (C2) des attaquants.

    Ce mode opératoire permet :

    • D’échapper aux EDR et filtres réseau basés sur la réputation.
    • De se propager discrètement entre entreprises via les partages SharePoint.
    • De complexifier la détection et les scans automatiques.
    • De capturer en temps réel les informations d’identification des victimes.

    Une sophistication digne des groupes organisés

    Les TTPs (techniques, tactiques et procédures) observés laissent penser à des groupes bien établis, potentiellement liés à des services de phishing-as-a-service (PhaaS).

    Les techniques employées sont particulièrement avancées :

    • AiTM (Adversary-in-The-Middle)
    • HTML Smuggling
    • Hébergements bulletproof

    Ces éléments indiquent un franchissement de cap dans la sophistication des campagnes de phishing ciblées.

    Nos recommandations immédiates

    • Surveiller tout partage externe suspect de documents sur SharePoint ou OneDrive, même en provenance de contacts connus.
    • Bloquer l’accès aux domaines Cloudflare Workers non utilisés par votre organisation.
    • Former les utilisateurs à repérer les signaux faibles : pages Microsoft anormales, URL incohérentes, etc.
    • Réinitialiser les mots de passe, la double authentification (MFA), et les sessions actives sur tout compte suspect.

    7 août 2025

    Découvrez nos derniers articles publiés

    Actualité cyber

    Retour d’expérience des cyberattaques traitées par le SOC et CERT Cyna en 2025

    Découvrez le quotidien de nos équipes SOC et CERT ainsi que les attaques auxquelles ils ont été confrontés en 2025....

    2 minutes
    Lire l'article
    Actualité cyber

    [Webinaire MSP] NIS2 : pourquoi vos clients vont-ils l’exiger ?

    Dans l'écosystème IT, on a longtemps pensé que la cybersécurité n'évoluait qu'au rythme des malwares et des ransomwares. C’est terminé. Aujourd'h...

    2 minutes
    Lire l'article
    Rapport CERT cybersécurité du troisième trimestre 2025
    Actualité cyber

    Ransomwares T3 2025 : Une menace qui s’installe et se réinvente

    Le calme après la tempête ? Pas tout à fait. Si l'été a pu donner une impression de répit, les chiffres de notre dernier rapport CERT sont sans a...

    2 minutes
    Lire l'article
    Actualité cyber

    [Webinaire] MSP, en 2026, être équipé ne suffira plus à protéger vos clients

    L’année 2026 ne sera pas une simple répétition de 2025. Dans le monde de la cybersécurité, nous observons une mutation profonde : les attaques de...

    2 minutes
    Lire l'article
    Les 3 signaux faibles qu’un EDR ne voit pas sans SOC.
    Actualité cyber

    Les 3 signaux faibles qu’un EDR ne voit pas sans SOC

    Les EDR (Endpoint Detection & Response) apportent une visibilité et des protections précieuses sur les postes et serveurs. Toutefois, ils restent...

    7 minutes
    Lire l'article
    Actualité cyber

    [Webinaire] IA et cybercrime : les risques que les MSP ne doivent plus sous-estimer en 2026

    Depuis des années, vous êtes les gardiens de la cybersécurité de vos clients PME. Votre modèle a fonctionné. Mais si nous vous disions que la men...

    3 minutes
    Lire l'article
    Voir tous nos articles