Le malware RAT via Windows Explorer met la cryptomonnaie en danger

Cofense Intelligence révèle comment les acteurs malveillants abusent de l’Explorateur de fichiers Windows et des serveurs WebDAV pour contourner la sécurité du navigateur et déployer des RAT sur des cibles d’entreprise.

Les acteurs malveillants ont trouvé un moyen de déployer directement des logiciels malveillants sur des machines d’entreprise sans passer du tout par un navigateur web. Cofense Intelligence a publié ses découvertes le 25 février 2026, révélant une campagne active qui exploite la capacité intégrée de l’Explorateur de fichiers Windows à se connecter à des serveurs WebDAV distants. La tactique évite complètement les avertissements de téléchargement habituels du navigateur. La plupart des utilisateurs ignorent que l’Explorateur de fichiers peut accéder à des serveurs Internet.

WebDAV est un ancien protocole de gestion de fichiers basé sur HTTP. Peu de gens l’utilisent encore aujourd’hui. Mais Windows le supporte toujours nativement dans l’Explorateur de fichiers, même si Microsoft a déprécié cette fonctionnalité en novembre 2023. Cet écart entre la dépréciation et la suppression complète est précisément ce que les attaquants exploitent.

Quand un dossier n’est pas vraiment un dossier

Selon le rapport publié par Cofense Intelligence, le volume de campagnes est apparu pour la première fois en février 2024, puis a fortement augmenté en septembre 2024. Il est resté actif depuis. Les attaques ne se sont pas ralentis. 87 % de tous les rapports de menaces actives liés à cette tactique délivrent plusieurs chevaux de Troie d’accès à distance comme charges finales. XWorm RAT, Async RAT et DcRAT sont les plus fréquemment détectés.

À lire absolument : Fuite de sécurité crypto : les piratages de janvier totalisent 86 millions de dollars, le phishing explose

Comment fonctionne réellement l’attaque

Les victimes reçoivent des emails de phishing, souvent déguisés en factures en allemand. Les emails contiennent soit des fichiers de raccourci URL (.url), soit des fichiers de raccourci LNK (.lnk). Les deux peuvent ouvrir silencieusement une connexion WebDAV dans l’Explorateur de fichiers. L’utilisateur voit ce qui ressemble à un dossier local. Ce n’est pas le cas.

Ce qui rend cela particulièrement dangereux, c’est la chaîne qui suit. Des scripts téléchargent d’autres scripts depuis des serveurs WebDAV séparés. Des fichiers légitimes se mêlent à des fichiers malveillants pour brouiller la détection. Au moment où un RAT est déployé, le chemin de livraison a traversé plusieurs couches d’obfuscation. Les outils de sécurité qui analysent les téléchargements du navigateur manquent toute cette séquence.

Le rapport de Cofense note que 50 % de toutes les campagnes affectées sont en allemand. Les campagnes en anglais représentent 30 %. L’italien et l’espagnol complètent le reste. Cette répartition indique directement que les comptes email d’entreprises européennes sont la cible principale.

À voir aussi : Le ver npm vole des clés crypto, cible 19 packages

Cloudflare Tunnel joue un rôle important pour les attaquants ici. Toutes les ATR liées à cette tactique utilisent des comptes de démonstration gratuits sur trycloudflare[.]com pour héberger les serveurs WebDAV malveillants. L’infrastructure de Cloudflare route la connexion de la victime. Cela donne l’impression que le trafic est légitime lors du premier examen. Les comptes de démonstration sont conçus pour être temporaires, ce qui permet aux acteurs malveillants de les supprimer rapidement après le début des campagnes, empêchant toute analyse forensique.

Pourquoi les détenteurs de crypto sont particulièrement exposés

C’est ici que la situation devient dangereuse pour quiconque détient des actifs numériques. Des RAT comme XWorm et Async RAT donnent aux attaquants un accès distant persistant à une machine infectée. Cela signifie que le contenu du presse-papiers, les sessions de navigateur, les mots de passe enregistrés et les fichiers de portefeuille crypto sont tous à portée de main. La prise en otage du presse-papiers, déjà liée à des vols de crypto d’une valeur de centaines de millions, devient triviale lorsqu’un RAT est en fonctionnement.

Les pertes dues au phishing seules ont dépassé 300 millions de dollars en janvier 2026, selon les données de suivi de sécurité. Ce chiffre dépasse largement les pertes dues aux piratages de protocoles durant la même période. Les méthodes d’attaque documentées par Cofense alimentent directement cette tendance. Un RAT déployé via WebDAV sur la machine d’un employé d’une équipe financière n’est pas seulement un problème de sécurité informatique d’entreprise. C’est une voie directe vers le drain des portefeuilles et le vol de clés.

À ne pas manquer : Avec l’augmentation des menaces, la sécurité des portefeuilles crypto sera une priorité en 2026

Ce que les organisations doivent faire maintenant

Le rapport de Cofense recommande de rechercher spécifiquement le trafic réseau vers des instances de démonstration de Cloudflare Tunnel. Les outils EDR avec analyse comportementale doivent signaler les fichiers .URL et .LNK qui contactent des serveurs distants. La solution la plus difficile est la sensibilisation des utilisateurs. La plupart des gens ignorent simplement que la barre d’adresse de l’Explorateur de fichiers fonctionne comme un navigateur.

Vérifier cette barre de la même manière qu’un URL suspect constitue la première ligne de défense. Des abus similaires sont possibles via FTP et SMB. Ces deux protocoles sont couramment utilisés en entreprise et peuvent tous deux atteindre des serveurs externes. La surface d’attaque que Cofense documente est plus large que WebDAV.

En relation : Piratages et incidents de sécurité en 2025 : une année qui a exposé les faiblesses du secteur crypto

L’analyse technique complète, y compris les tableaux IOC et des exemples de domaines Cloudflare Tunnel liés à des rapports de menaces actives spécifiques, est disponible dans le rapport Cofense Intelligence publié sur cofense.com.