Le groupe de cybercriminels Scattered Spider, connu pour ses campagnes de ransomwares sophistiquées, a récemment innové en exploitant les interfaces de gestion de VMware ESXi afin de déployer des charges malveillantes et prendre le contrôle total d’environnements virtualisés d’entreprise.
Ce mode opératoire, observé dans une nouvelle série d’attaques, démontre la capacité croissante du groupe à s’adapter aux environnements d’infrastructure modernes, en ciblant directement les hyperviseurs plutôt que les systèmes d’exploitation hôtes.
Une évolution inquiétante des tactiques de ransomwareMalware qui chiffre les fichiers et demande une rançon. Blocage des fichiers comptables via LockBit. CERT-FR
Scattered Spider — aussi connu sous les noms UNC3944 ou Muddled Libra — est un acteur réputé pour ses attaques par ingénierie sociale ciblée, son utilisation d’outils natifs et sa capacité à contourner l’authentification multifacteur (MFA). Les chercheurs de Mandiant (filiale de Google Cloud) rapportent que les nouvelles attaques menées par ce groupe exploitent directement l’interface de ligne de commande de VMware ESXi (esxcli).
Cette approche permet aux attaquants de :
Désactiver les machines virtuelles à distance via ESXi ;
Télécharger et exécuter un payload malveillant (un fichier ELF chiffré, baptisé « RansomExx ») ;
Crypter les disques virtuels des machines (VMDK) sans jamais compromettre un OS classique.
Accès initial : phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank, contournement MFA et abus d’outils d’administration
L’attaque débute généralement par une campagne de phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank ciblé, suivie d’un contournement de l’authentification multifacteur, souvent facilité par l’ingénierie sociale sur les équipes IT ou help desk. Une fois l’accès initial obtenu sur un point d’entrée, les cybercriminels mènent une reconnaissance poussée et élèvent leurs privilèges pour accéder aux hyperviseurs ESXi.
La particularité de cette campagne réside dans l’utilisation directe des interfaces d’administration système de VMware, ce qui permet :
De neutraliser rapidement plusieurs serveurs virtualisés ;
D’échapper aux outils de détection traditionnels installés dans les VMs ;
De réduire le temps entre l’intrusion et l’impact opérationnel, un facteur critique dans les campagnes de ransomwareMalware qui chiffre les fichiers et demande une rançon. Blocage des fichiers comptables via LockBit. CERT-FR modernes.
Un retour du ransomwareMalware qui chiffre les fichiers et demande une rançon. Blocage des fichiers comptables via LockBit. CERT-FR RansomExx
Bien que moins répandu en 2025, le ransomwareMalware qui chiffre les fichiers et demande une rançon. Blocage des fichiers comptables via LockBit. CERT-FR RansomExx fait ici une réapparition notable. Il s’agit d’un malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec Linux au format ELF capable de chiffrer les disques virtuels des machines hébergées sur ESXi, empêchant leur redémarrage tant qu’une rançon n’est pas payée.
L’échantillon analysé par Mandiant était fortement obfusqué et chiffré, et nécessitait une commande d’exécution spécifique depuis esxcli, indiquant que les opérateurs maîtrisent parfaitement l’environnement ciblé.
Impact et conséquences pour les entreprises
Cette campagne illustre un changement tactique majeur : cibler l’infrastructure de virtualisation elle-même plutôt que les systèmes hôtes. Les implications sont graves :
Pertes massives de données si les VMs sont chiffrées sans sauvegarde hors ligne ;
Indisponibilité totale des services IT en cas de compromission du serveur ESXi principal ;
Risque de propagation latérale rapide à d’autres nœuds dans des environnements vSphere.
Recommandations de sécurité
Face à cette nouvelle menace, les experts recommandent aux entreprises :
De restreindre fortement l’accès aux interfaces d’administration ESXi (via segmentation réseau et MFA renforcée) ;
De désactiver les accès directs SSH/esxcli sauf en cas de besoin temporaire ;
De monitorer l’activité sur les hyperviseurs pour détecter toute utilisation suspecte de commandes système ;
De mettre en place des sauvegardes hors ligne régulières des VMDK et des configurations VM.
Conclusion
L’exploitation de VMware ESXi par le groupe Scattered Spider marque une évolution préoccupante dans les tactiques des groupes de ransomwareMalware qui chiffre les fichiers et demande une rançon. Blocage des fichiers comptables via LockBit. CERT-FR. En ciblant l’infrastructure virtuelle centrale, les cybercriminels cherchent à maximiser l’impact de leurs attaques tout en contournant les défenses classiques déployées dans les environnements d’entreprise.
Les responsables IT doivent désormais considérer les hyperviseurs comme des cibles à protéger activement, au même titre que les serveurs, endpoints et postes utilisateurs.