Étude de cas : Une PME découvre une APT après 9 mois – grâce à un scan THOR

Une entreprise de construction de machines a découvert lors d’une évaluation de compromis de routine avec THOR que des attaquants étaient actifs dans le réseau depuis 9 mois sans être détectés. Le cas montre : EDR seul ne suffit pas — des évaluations de compromis régulières sont indispensables.

L’essentiel

Une entreprise de construction de machines a découvert lors d’une évaluation de compromis de routine avec THOR de Nextron Systems que des attaquants étaient actifs dans le réseau depuis 9 mois sans être détectés. Le groupe APT avait exfiltré des données de conception et des informations de brevets. Le cas montre : EDR seul ne suffit pas — des évaluations de compromis régulières sont indispensables.

Contexte

L’entreprise est un spécialiste de la construction de machines avec 450 employés et des sites en Allemagne, en Chine et aux États-Unis. L’infrastructure informatique était équipée d’un produit EDR renommé. Il n’y avait pas d’incidents de sécurité connus.

Dans le cadre d’une mesure de préparation à la NIS2, l’entreprise a mandaté un prestataire pour une évaluation de compromis. THOR Full a été utilisé en combinaison avec Velociraptor pour le contrôle centralisé.

Ce que THOR a trouvé

Le scan de 320 points de terminaison et 40 serveurs a fourni plusieurs résultats critiques en 48 heures :

Fichiers système Windows modifiés sur trois postes de travail d’ingénierie (correspondance YARA avec un ensemble d’outils APT connu)
Tâches planifiées anormales pour la communication persistante de backdoor
Correspondances Sigma dans les journaux d’événements Windows : motifs de mouvement latéral suspects sur 9 mois
Webshell sur un serveur web interne utilisé comme point de pivot

Pourquoi l’EDR n’a pas détecté l’attaque

Les attaquants ont utilisé des techniques Living-off-the-Land (LOLBins) : outils Windows légitimes tels que PowerShell, certutil et wmic pour leurs activités. L’EDR a classé ces exécutions comme normales, car elles se produisaient fréquemment dans le contexte des logiciels d’ingénierie.

THOR, en revanche, ne cherchait pas des exécutions suspectes, mais les artefacts laissés par les attaquants : fichiers modifiés, entrées de registre suspectes et traces de journalisation.

Ampleur de la compromission

L’analyse forensique a révélé :

Accès initial via un e-mail de phishing ciblé à un ingénieur
Mouvement latéral sur 5 systèmes en 9 mois
Exfiltration d’environ 12 Go de données de conception et de 3 demandes de brevet
Aucun dommage destructeur (espionnage, pas de sabotage)

Leçons apprises

EDR ne détecte pas tout — les APT basées sur LOLBin sont souvent ignorées
Des évaluations de compromis régulières (au moins semestrielles) trouvent ce que l’EDR ignore
THOR + Velociraptor est une combinaison rentable pour les scans d’entreprise
Les postes de travail d’ingénierie sont des cibles de haute valeur et nécessitent une surveillance particulière

Key Facts

Secteur : Construction de machines

Durée de présence des attaquants : 9 mois (Dwell Time)

Détection par : Évaluation de compromis THOR

Données exfiltrées : 12 Go de données de conception, 3 demandes de brevet

EDR était installé, mais n’a pas détecté l’APT

Fait : Mandiant évalue la durée moyenne de présence (Dwell Time) lors des attaques APT en 2024 à 10 jours — mais souvent plus de 200 jours pour les compromissions non détectées.

Fait : Selon CrowdStrike, le nombre de groupes d’attaquants soutenus par des États s’est plus que doublé depuis 2020 — à plus de 230 groupes actifs dans le monde.

Questions fréquentes

Pourquoi l’EDR n’a-t-il pas détecté l’APT ?

Les attaquants ont utilisé des techniques Living-off-the-Land — c’est-à-dire des outils Windows légitimes comme PowerShell et certutil. Les systèmes EDR ne reconnaissent souvent pas ces outils comme suspects lorsqu’ils apparaissent dans le contexte des processus commerciaux normaux.

À quelle fréquence faut-il effectuer des évaluations de compromis ?

Au moins semestriellement pour les entreprises à haut risque. De plus, après chaque incident suspect, lors des fusions et acquisitions (due diligence) et en complément des tests de pénétration réguliers.

Pourquoi les attaques APT restent-elles si longtemps non détectées ?

Les groupes APT utilisent des techniques dites Living-off-the-Land, où ils utilisent des outils système légitimes comme PowerShell ou WMI pour se déplacer dans le réseau. Comme ces outils font partie du fonctionnement normal, ils déclenchent rarement des alarmes. Seuls des outils spécialisés d’évaluation de compromis comme THOR détectent les traces subtiles de telles attaques.