Le groupe marocain Atlas Lion détourne les outils cloud des entreprises pour infiltrer leurs systèmes et émettre frauduleusement des cartes-cadeaux.
Un vent d’inquiétude souffle sur les grandes enseignes de la distribution, de la restauration et de l’habillement. Le groupe de cybercriminels marocains Atlas Lion revient sur le devant de la scène avec une méthode aussi discrète qu’efficace : l’intégration de machines virtuelles frauduleuses dans les infrastructures cloud d’entreprises ciblées. Ces intrusions permettent aux pirates d’opérer comme s’ils faisaient partie intégrante du réseau informatique de leurs victimes. Une stratégie redoutable, qui expose la vulnérabilité persistante des environnements cloud face à des adversaires déterminés et ingénieux.
Atlas Lion n’est pas un inconnu dans le paysage de la cybercriminalité. Déjà identifié par Microsoft pour ses attaques ciblant les géants du commerce, le groupe s’est spécialisé dans la fraude aux cartes-cadeaux. Son modus operandi consiste à infiltrer les systèmes internes des entreprises pour comprendre — puis contourner — leurs processus de création, de remboursement et de sécurisation des cartes. Jusqu’ici, rien de nouveau. Plusieurs importantes entreprises françaises ont connu, ces derniers mois, ce type de fraudes.
Mais la dernière découverte révèle une étape supplémentaire dans l’évolution de ces attaques : l’utilisation de l’infrastructure même des entreprises comme vecteur d’infiltration, brouillant ainsi les pistes et rendant la détection beaucoup plus difficile. Un changement de paradigme qui interpelle sur la résilience réelle des environnements numériques professionnels.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
Tout commence, comme souvent, par une campagne de phishing finement élaborée. Atlas Lion envoie des messages SMS déguisés en alertes d’assistance informatique. Ces textos contiennent des liens frauduleux redirigeant les victimes vers des pages imitant à la perfection les interfaces de connexion de leur entreprise. Une fois les identifiants, mots de passe et codes de double authentification saisis, les hackers malveillants ont la voie libre. A noter que les infos stealers sont aussi des outils usités par ces voleurs pour s’inviter dans les machines d’employés.
Mais c’est la suite de l’opération qui intrigue les spécialistes. Atlas Lion ne se contente pas d’accéder aux comptes compromis. Le groupe va plus loin : il crée une machine virtuelle dans son propre environnement Microsoft Azure, puis l’inscrit au domaine d’entreprise de la cible, comme s’il s’agissait d’un nouvel appareil professionnel. En usurpant les procédures standards de configuration de Windows, qui permettent à un utilisateur de joindre un nouveau dispositif au réseau de l’entreprise, les cybercriminels réussissent à se fondre dans le décor numérique.
Cette machine virtuelle (VM) a été onboardée comme un nouveau système légitime, contournant les mesures censées bloquer les appareils non autorisés. Malin !
Une fois cette étape franchie, Atlas Lion dispose d’un point d’ancrage quasiment indétectable, capable de naviguer à travers le réseau de l’entreprise, d’extraire des données sensibles et de manipuler les systèmes internes. Néanmoins, ce camouflage n’est pas sans faille. Lors d’une enquête, les analystes de la société Expel ont découvert que les machines nouvellement intégrées devaient installer des logiciels conformes aux politiques de sécurité internes. L’installation obligatoire de Microsoft Defender sur la machine virtuelle a ainsi déclenché une alerte, liée à une adresse IP déjà connue pour des activités malveillantes. Les équipes de cybersécurité ont pu agir rapidement : l’appareil frauduleux a été éjecté du réseau et les identifiants compromis ont été réinitialisés.
Un lion amateur de cartes-cadeaux
Ce contretemps n’a cependant pas suffi à décourager Atlas Lion. À peine quelques heures après avoir été expulsés, les cybercriminels sont revenus à la charge. Munis des identifiants volés, ils ont réintégré le système pour explorer les applications internes, à la recherche de failles supplémentaires. Leur objectif ? Mieux comprendre les politiques de gestion des appareils personnels (BYOD), les logiciels de supervision informatique, les configurations de VPN… Autant de données qui pourraient leur permettre de perfectionner leur prochaine tentative d’infiltration.
Mais les recherches des hackers n’étaient pas limitées aux aspects techniques. Les attaquants se sont également intéressés aux documents relatifs aux cartes-cadeaux : procédures d’émission, de remboursement, politiques de prévention contre la fraude. Une confirmation que la finalité première de ces incursions reste financière, et que l’émission frauduleuse de cartes demeure au cœur de leur modèle économique. Dans les cas que le Service Veille a pu croiser, il y a peu, des cartes cadeaux de 50€ étaient revendues 50% de leur tarif initial.
Ces cartes, une fois créées, sont revendues à prix cassé sur le dark web ou blanchies à travers un réseau de « mules », intermédiaires chargés de transformer les gains numériques en espèces sonnantes et trébuchantes. L’efficacité de cette stratégie repose sur une connaissance approfondie des systèmes internes des entreprises — connaissance que les pirates n’hésitent pas à approfondir grâce à des documents parfois disponibles en accès libre sur les sites institutionnels. Microsoft avait notamment observé l’an dernier qu’Atlas Lion téléchargeait des lettres officielles délivrées par le fisc américain à des associations, afin d’obtenir des réductions sur des services cloud, rendant leurs opérations encore plus économiques. Il est estimé que les pertes peuvent atteindre jusqu’à 90 000 euros par jour dans certaines entreprises ciblées, uniquement via des cartes-cadeaux.
La question reste entière : combien de temps les entreprises pourront-elles encore faire face à des adversaires qui savent si bien se fondre dans la masse numérique ?
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
