Les cyberattaques deviennent de plus en plus sophistiquées : de fausses factures PDF ultra-réalistes cachent des logiciels malveillants.

Les cybercriminels affinent leurs techniques d'attaque, rendant de plus en plus difficile la distinction entre les menaces numériques et les activités légitimes. C'est ce qu'indique le dernier rapport Threat Insights de HP Wolf Security, qui révèle comment les techniques traditionnelles de phishing et les stratégies de « living-off-the-land » (LOTL) évoluent pour contourner les outils de sécurité basés sur la détection . Les techniques LOTL, qui exploitent des outils et des fonctionnalités déjà présents dans les systèmes d'exploitation, sont désormais combinées de manière innovante, complexifiant la détection des attaques.

Le rapport fournit une analyse détaillée des dernières campagnes d'attaque, basée sur les millions de terminaux surveillés par HP Wolf Security. Parmi les conclusions les plus significatives figurent trois méthodes particulièrement ingénieuses.

La première méthode consiste en un hameçonnage ultra-réaliste utilisant de fausses factures Adobe Reader . Les attaquants ont intégré un « shell inversé » (un script prenant le contrôle de l'appareil) dans une petite image SVG, déguisée en un fichier PDF Adobe Acrobat Reader extrêmement réaliste , avec une fausse barre de chargement. Pour compliquer l'analyse, le téléchargement du fichier a été limité aux régions germanophones.

Le rapport révèle également que des attaquants dissimulent du code malveillant dans des fichiers image . À l'aide de fichiers d'aide HTML compilés par Microsoft, déguisés en documents de projet, les cybercriminels ont dissimulé une charge utile XWorm dans les pixels de l'image . Cette charge utile est ensuite extraite pour lancer une chaîne d'infection en plusieurs étapes, incluant l'utilisation de PowerShell pour effacer toute trace une fois les fichiers téléchargés et exécutés.

« Aujourd'hui, les cybercriminels adoptent des stratégies de plus en plus sophistiquées pour se camoufler dans les activités quotidiennes des utilisateurs, en exploitant des outils légitimes, des fichiers familiers et des techniques invisibles aux contrôles traditionnels. Les menaces étant de plus en plus difficiles à intercepter avec les seuls outils de détection traditionnels, il est essentiel d'adopter une approche de sécurité multicouche capable de les isoler et de les contenir avant qu'elles ne causent de réels dommages. Dans un environnement numérique de plus en plus complexe, HP Wolf Security a été créé précisément dans cet objectif : protéger les appareils et les terminaux de manière efficace et transparente, sans perturber la productivité, en aidant les personnes et les entreprises à se déplacer en toute sécurité et en garantissant la continuité des activités », a déclaré Giampiero Savorelli, vice-président et PDG de HP Italie .

Enfin, le rapport a constaté une résurgence de Lumma Stealer, un malware très actif diffusé via des archives IMG . Grâce aux techniques LOTL , ces pièces jointes sont capables de contourner les filtres de sécurité et d'exploiter des systèmes sécurisés. Malgré une intervention des forces de l'ordre en mai 2025, le groupe criminel a poursuivi ses activités, enregistrant de nouveaux domaines et reconstruisant son infrastructure.

« Les attaquants ne réinventent pas la roue, mais perfectionnent leurs techniques », a déclaré Alex Holland, chercheur principal en menaces chez HP Security Lab . « Nous observons une combinaison croissante d'outils « vivant de la terre » et d'utilisation de types de fichiers moins évidents, comme les images, pour échapper à la détection. C'est une approche simple et rapide qui passe souvent inaperçue, précisément parce qu'elle est si élémentaire . »

Selon le Dr Ian Pratt, responsable mondial de la sécurité des systèmes personnels chez HP Inc. , les techniques LOTL sont particulièrement difficiles à contrer pour les équipes de sécurité. « On est pris entre le marteau et l'enclume : soit on restreint l'activité, ce qui crée des frictions pour les utilisateurs, soit on la laisse ouverte, risquant l'infiltration d'un attaquant », explique Pratt . « Même les meilleurs systèmes de détection peuvent échouer. C'est pourquoi une défense en profondeur, incluant le confinement et l'isolement des menaces avant qu'elles ne causent des dommages, est essentielle. »

Les données du rapport, qui couvrent la période d'avril à juin 2025, indiquent qu'au moins 13 % des menaces identifiées par HP Sure Click ont ​​échappé à un ou plusieurs scanners de passerelle de messagerie . Les fichiers d'archives étaient le mode de diffusion le plus populaire (40 %), suivis des exécutables et des scripts (35 %), avec une nette préférence pour les fichiers .rar (26 %) , ce qui suggère que les attaquants exploitent la confiance accordée à des logiciels courants comme WinRAR pour éviter toute suspicion.