La veille ZATAZ a repéré une annonce qui vise le cœur des défenses d’entreprise : un outil censé désactiver des antivirus et EDR majeurs. Le vendeur promet efficacité, discrétion et “driver signé Microsoft”.
Le service de veille ZATAZ a identifié, dans un espace pirate russophone, une offre de malware présentée comme un « AV/EDR Killer« , annoncée capable de neutraliser ou supprimer plusieurs solutions de sécurité d’entreprise. L’annonce cite SentinelOne, Microsoft Defender for Endpoint, Sophos Endpoint Security, ESET Endpoint Security, Trend Micro, Avast Business et Avira Pro. Le vendeur affirme fournir le code, un outil « builder » et un pilote signé Microsoft daté de 2025, censé faciliter le contournement des contrôles. Le tueur est vendu (2 700 €).
Un tueur d’EDR mis en vitrine
L’annonce a tout d’un produit « clé en main », pensée pour se vendre vite et se déployer encore plus vite. Dans un espace pirate russophone, la veille ZATAZ a découvert un acteur malveillant qui affirme commercialiser un « AV/EDR Killer« , comprenez un outil conçu, selon ses mots, pour désactiver et retirer des produits de sécurité utilisés dans les environnements d’entreprise. Le vocabulaire est direct, presque industriel : on n’est pas dans le tutoriel, mais dans l’offre packagée, avec un prix, un canal de contact, et une liste de compatibilités comme sur une fiche technique.
Les cibles revendiquées sont explicites et parlent aux équipes SOC : SentinelOne, Microsoft Defender for Endpoint (MDE), Sophos Endpoint Security, ESET Endpoint Security, Trend Micro, Avast Business et Avira Pro. Ce choix n’est pas anodin. Il vise des solutions largement déployées, celles qui, en théorie, doivent empêcher précisément ce type de charge utile de s’installer et de durer. En affichant ces noms, le vendeur cherche à transformer un point de friction, la défense endpoint, en simple fonctionnalité contournable.
L’argument central repose sur le contenu du « pack ». L’acteur annonce fournir le code, un « builder » pour générer des variantes, et surtout un pilote signé Microsoft daté de 2025. Cette mention concentre l’enjeu cyber et renseignement : si un outil s’appuie sur un composant perçu comme légitime par l’OS, il peut se glisser sous les radars, contourner des contrôles et compliquer l’attribution. Le vendeur affirme que l’outil a été testé contre les solutions citées. Il ne fournit pas ici de preuves techniques, mais la promesse est calibrée pour rassurer un acheteur criminel qui veut du « fonctionnel » et du reproductible. La Veille ZATAZ a pu constater, via des « preuves » fournies par le vendeur ce qui semble être des « crimes » fonctionnels.
Le prix est affiché à 3 000 $ (+2 700 €). Le règlement est organisé via un identifiant de messagerie TOX, un canal fréquemment utilisé pour échanger hors des plateformes grand public, réduire les traces et maintenir une relation client clandestine.
Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.
Fuites de données, Veille web & dark web, alertes et priorisation des risques. |
Dédiée aux entreprises, institutions et particuliers. A PARTIR DE 0,06€ PAR JOUR |
Pourquoi ce type d’outil compte
Dans une chaîne d’attaque moderne, neutraliser l’endpoint est souvent le moment où tout bascule. Tant que l’EDR surveille, corrèle et alerte, l’attaquant doit se cacher, fragmenter ses actions, limiter ses essais. S’il parvient à aveugler la machine, il peut accélérer, déployer des outils supplémentaires, maintenir une présence et préparer l’extorsion. C’est précisément pour cela que les « killers” d’AV/EDR » sont associés aux opérateurs de ransomware et à d’autres groupes cherchant à éviter la détection et à renforcer la persistance sur des systèmes compromis.
Le texte de l’annonce rappelle un principe récurrent : ces outils tirent souvent parti de pilotes légitimes ou de mécanismes de signature de code pour passer sous les contrôles. Dit autrement, l’attaquant n’a pas toujours besoin d’inventer une magie noire. Il lui suffit parfois d’exploiter des briques acceptées par l’écosystème, de les détourner, puis de s’en servir comme passeport technique. La mention d’un pilote « signé Microsoft » joue exactement sur cette zone grise entre confiance et abus : si le système fait confiance au composant, la défense doit redoubler d’intelligence pour détecter l’intention.
Il y a aussi un signal économique. Une offre à 3 000 $ positionne l’outil dans un segment « professionnel » du marché criminel : assez cher pour suggérer une valeur, assez accessible pour des opérateurs structurés. En incluant un builder et du code, l’acteur promet aussi de la modularité, donc la possibilité de décliner, adapter, et éviter les détections basées sur un seul hash ou une seule signature. Cette logique de produit, et non de payload unique, colle à une industrialisation des opérations offensives où la maintenance et l’itération comptent autant que l’exploit initial.
Sans éléments supplémentaires, impossible de confirmer la réalité de la capacité annoncée. Mais l’annonce, en elle-même, est un indicateur : le marché continue de se spécialiser autour de la neutralisation des défenses, car c’est l’étape qui conditionne le reste. Le lieu de diffusion n’est pas un espace de « petits comiques » et le vendeur n’est pas à sa premiére vente.
En renseignement cyber, ce type de publicité vaut souvent alerte, non pas parce qu’elle prouve l’efficacité, mais parce qu’elle montre l’intention, la cible, et la manière dont la criminalité s’organise.
|
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. |
