Des chercheurs en cybersécurité ont révélé les détails d’une intrusion impliquant l’utilisation d’un outil d’accès à distance CloudZ (RAT) et d’un plugin non documenté précédemment baptisé Pheno dans le but de faciliter le vol d’identifiants.

« D’après les fonctionnalités du RAT CloudZ et du plugin Pheno, l’objectif était de voler les identifiants des victimes et potentiellement leurs mots de passe à usage unique (OTP) », ont déclaré les chercheurs de Cisco Talos, Alex Karkins et Chetan Raghuprasad , dans une analyse publiée mardi.

Ce qui rend cette attaque inédite, c’est que CloudZ utilise le plugin Pheno personnalisé pour détourner la passerelle PC-téléphone établie en exploitant l’application Microsoft Phone Link, ce qui permet au plugin de surveiller les processus Phone Link actifs et d’intercepter potentiellement des données mobiles sensibles telles que les SMS et les mots de passe à usage unique (OTP) sans avoir besoin de déployer de logiciel malveillant sur le téléphone. 

Ces résultats démontrent comment des fonctionnalités légitimes de synchronisation entre appareils peuvent exposer des failles de sécurité involontaires permettant le vol d’identifiants et le contournement de l’authentification à deux facteurs. De plus, elles évitent d’avoir à compromettre l’appareil mobile lui-même.

D’après la société de cybersécurité, le logiciel malveillant a été utilisé dans le cadre d’une intrusion active depuis au moins janvier 2026. Cette activité n’a été attribuée à aucun acteur ou groupe de menaces connu.

Intégré à Windows 10 et Windows 11, Phone Link offre aux utilisateurs un moyen de jumeler leur ordinateur avec un appareil Android ou un iPhone via Wi-Fi et Bluetooth, leur permettant de passer ou de recevoir des appels, d’envoyer des messages et de supprimer les notifications.

Des acteurs malveillants inconnus ont été observés tentant d’exploiter l’application à l’aide de CloudZ RAT et Pheno pour confirmer l’activité de Phone Link sur un environnement victime, puis accéder au fichier de base de données SQLite utilisé par le programme pour stocker les données téléphoniques synchronisées. 

La chaîne d’attaque aurait utilisé une méthode d’accès initiale encore indéterminée pour s’infiltrer dans le système et y déposer un faux exécutable ConnectWise ScreenConnect. Ce dernier est chargé de télécharger et d’exécuter un chargeur .NET. Le programme d’installation initial utilise également un script PowerShell intégré pour assurer la persistance de l’attaque en configurant une tâche planifiée qui exécute le chargeur .NET malveillant.

Le chargeur intermédiaire est conçu pour effectuer des vérifications matérielles et environnementales afin d’échapper à la détection et de déployer le cheval de Troie modulaire CloudZ sur la machine. Une fois exécuté, ce cheval de Troie, compilé en .NET, déchiffre une configuration intégrée, établit une connexion socket chiffrée avec le serveur de commande et de contrôle (C2) et attend des instructions encodées en Base64 lui permettant d’exfiltrer les identifiants et d’implanter des plugins supplémentaires.

Voici quelques-unes des commandes prises en charge par CloudZ :

• pong, pour envoyer des réponses de battement cardiaque
• PING !, pour envoyer une demande de battement de cœur
• FERMER, pour mettre fin au processus du cheval de Troie
• INFO, pour collecter les métadonnées système
• Exécuter une commande shell
• BrowserSearch, pour exfiltrer les données du navigateur Web
• GetWidgetLog, pour exfiltrer les journaux et les données de reconnaissance de Phone Link
• plugin, pour charger un plugin
• savePlugin, pour enregistrer un plugin sur le disque dans le répertoire de transit (« C:\ProgramData\Microsoft\whealth\ »)
• sendPlugin, pour téléverser un plugin sur le serveur C2
• RemovePlugins, pour supprimer tous les modules de plugin déployés
• Récupération, pour permettre la récupération ou la reconnexion
• DW, pour effectuer des opérations de téléchargement et d’écriture de fichiers
• FM, pour mener des opérations de gestion de fichiers
• Msg, pour envoyer un message au serveur C2
• Erreur, pour signaler les erreurs au serveur C2
• rec, pour enregistrer l’écran

« L’attaquant a utilisé un plugin appelé Pheno pour effectuer une reconnaissance de l’application Windows Phone Link sur la machine de la victime », a déclaré Talos. « Ce plugin effectue une reconnaissance de l’application Microsoft Phone Link sur la machine de la victime et enregistre les données de reconnaissance dans un fichier de sortie situé dans un dossier de transit. CloudZ récupère ensuite les données de l’application Phone Link depuis ce dossier et les envoie au serveur de commande et de contrôle (C2). »1