TrustConnect : un RAT déguisé en solution IT

TrustConnect illustre une nouvelle génération de RAT conçus pour imiter des logiciels professionnels. Derrière cette fausse solution IT, TrustConnect offre aux cybercriminels un accès distant complet aux systèmes compromis.

Une nouvelle campagne identifiée par Proofpoint met en lumière TrustConnect. C’est une plateforme de malware-as-a-service conçue pour imiter un logiciel de gestion informatique. Présenté comme un outil professionnel de supervision à distance, ce programme cache en réalité un cheval de Troie vendu par abonnement à des groupes cybercriminels. L’offre, fixée à environ 300 dollars mensuels, illustre la sophistication croissante des services malveillants destinés aux attaquants.

Un logiciel de gestion à distance qui cache une porte dérobée

TrustConnect adopte l’apparence d’un logiciel RMM destiné aux équipes informatiques. Son site web et ses éléments visuels reproduisent ceux d’un éditeur professionnel. Cela renforce sa crédibilité auprès des victimes potentielles. Une fois installé, le programme agit comme une porte dérobée et offre un contrôle complet de la machine compromise.

Les opérateurs peuvent ouvrir une session à distance, transférer des fichiers ou lancer des commandes système. Ces fonctions correspondent à celles d’un outil d’assistance informatique classique, ce qui complique la détection. TrustConnect s’inscrit dans un phénomène plus large qui consiste à exploiter des logiciels d’administration à distance pour mener des intrusions discrètes.

Les chercheurs ont observé que le malware pouvait être utilisé avec des solutions connues comme ScreenConnect ou LogMeIn. Cela facilite son intégration dans des chaînes d’attaque existantes.

TrustConnect

Un certificat officiel pour tromper les contrôles de sécurité

L’opérateur de TrustConnect a obtenu un certificat Extended Validation valide afin de signer le programme. Cette signature numérique a permis au logiciel de passer certains mécanismes de contrôle avant que le certificat ne soit révoqué à la suite des investigations.

Ce procédé démontre la volonté des attaquants de reproduire les signaux de confiance habituellement associés aux produits professionnels. Les chercheurs soulignent que les outils d’intelligence artificielle facilitent la création rapide de nouvelles variantes et accélèrent l’évolution de ce type d’opérations.

TrustConnect

Une infrastructure capable de se reconstituer rapidement

Après plusieurs perturbations de son infrastructure, l’opérateur a déplacé ses services vers de nouveaux serveurs et a commencé à tester une version renommée DocConnect. Cette transition montre une organisation capable de relancer ses activités sans interruption prolongée.

Les analyses techniques révèlent aussi des indices qui relient cet acteur au malware RedLine Stealer, avec un niveau de confiance qualifié de modéré par les chercheurs. Selon Proofpoint, TrustConnect illustre une évolution notable des opérations malveillantes. Il y a des attaquants qui reproduisent de plus en plus fidèlement l’apparence des logiciels d’entreprise pour gagner la confiance des utilisateurs et contourner les défenses.

Article basé sur un communiqué de presse reçu par la rédaction.

ARTICLES SIMILAIRES

Zimbra déploie un correctif crucial pour une faille d’exécution de code critique

Une faille de sécurité critique a frappé Zimbra, mettant en danger les données des utilisateurs.

17 juillet 2026

Packages AsyncAPI npm compromis : une porte ouverte à un malware botnet multi-étapes

Une campagne de compromission touchant les packages AsyncAPI sur npm expose un nouveau malware. Ces

16 juillet 2026

OkoBot intègre du phishing de phrases secrètes dans les applications Ledger et Trezor

Le framework malveillant OkoBot cible les utilisateurs de portefeuilles matériels de cryptomonnaies. Il intègre un

15 juillet 2026

L’été, une période sensible pour vos données numériques

Les vacances génèrent aujourd’hui un volume inédit de photos, vidéos et documents numériques. Pourtant, la

15 juillet 2026

IA et cyberrisques : les directions sous-estiment encore le danger

Une étude de MetaCompliance montre que les cyberrisques liés aux employés préoccupent de plus en

13 juillet 2026

La faille DEBULL exploite le Device-Code Flow de Microsoft pour cibler les comptes M365

Une faille inédite menace la sécurité des comptes Microsoft 365. La méthode DEBULL manipule le

7 juillet 2026