En résumé
- Les outils de surveillance en milieu de travail sont ciblés par des hackers utilisant des ransomwares, selon la société de cybersécurité Huntress.
- Un nouveau rapport a révélé que des acteurs malveillants combinaient des logiciels de surveillance des employés avec des outils de gestion à distance pour assurer leur persistance dans les systèmes des entreprises.
- L’utilisation répandue de « bossware » a élargi la surface d’attaque potentielle pour les entreprises.
Un outil populaire de surveillance des forces de travail est ciblé par des hackers et utilisé comme point d’appui pour des attaques par ransomware, selon un nouveau rapport de la société de cybersécurité Huntress.
Fin janvier et début février 2026, l’équipe de réponse tactique de Huntress a enquêté sur deux intrusions où les attaquants combinaient Net Monitor for Employees Professional avec SimpleHelp, un outil d’accès à distance utilisé par les départements IT.
> TL;DR 📌 Les cybercriminels ont transformé un logiciel de surveillance des employés en RAT, l’ont associé à SimpleHelp, ont chassé la crypto, et ont tenté de déployer Crazy ransomware.
>
> Les méchants éthiques derrière cette rédaction : @RussianPanda9xx, @sudo_Rem, @Purp1eW0lf, + @Antonlovesdnbhttps://t.co/3c6qbD7l3g
>
> — Huntress (@HuntressLabs) 13 février 2026
Selon le rapport, les hackers ont utilisé le logiciel de surveillance des employés pour pénétrer dans les systèmes de l’entreprise, et SimpleHelp pour s’assurer de pouvoir y rester même si un point d’accès était fermé. L’activité a finalement conduit à une tentative de déploiement de Crazy ransomware.
« Ces cas illustrent une tendance croissante des acteurs malveillants à exploiter des logiciels légitimes et disponibles commercialement pour se fondre dans les environnements d’entreprise », ont écrit les chercheurs de Huntress.
« Net Monitor for Employees Professional, bien qu’il soit commercialisé comme un outil de surveillance des forces de travail, offre des capacités qui rivalisent avec celles des chevaux de Troie d’accès à distance traditionnels : connexions inverses sur des ports courants, déguisement de noms de processus et de services, exécution de shell intégrée, et capacité à déployer silencieusement via les mécanismes d’installation standard de Windows. Lorsqu’il est associé à SimpleHelp comme canal d’accès secondaire… le résultat est une prise de contrôle résiliente et double, difficile à distinguer d’un logiciel administratif légitime. »
La société a ajouté que, bien que ces outils soient peut-être innovants, la cause profonde reste des périmètres exposés et une hygiène d’identité faible, notamment des comptes VPN compromis.
L’essor du « bossware »
L’utilisation du « bossware » varie selon les régions, mais elle est répandue. Environ un tiers des entreprises britanniques utilisent un logiciel de surveillance des employés, selon un rapport de l’année dernière, tandis qu’aux États-Unis, ce chiffre est estimé à environ 60 %.
Ce logiciel est couramment déployé pour suivre la productivité, enregistrer l’activité et capturer des captures d’écran des écrans des employés. Mais son utilisation est controversée, tout comme les affirmations selon lesquelles il mesurerait réellement la productivité ou se contenterait d’évaluer selon des critères arbitraires tels que les clics de souris ou les emails envoyés.
Néanmoins, leur popularité fait de ces outils une cible attrayante pour les attaquants. Net Monitor for Employees Professional, développé par NetworkLookout, est commercialisé pour le suivi de la productivité des employés mais offre des capacités au-delà de la simple surveillance passive d’écran, notamment des connexions shell inverses, le contrôle à distance du bureau, la gestion de fichiers et la possibilité de personnaliser les noms de services et de processus lors de l’installation.
Ces fonctionnalités, conçues pour un usage administratif légitime, peuvent permettre à des acteurs malveillants de se fondre dans les environnements d’entreprise sans déployer de malware traditionnel.
Dans le premier cas détaillé par Huntress, les enquêteurs ont été alertés par une manipulation suspecte de compte sur un hôte, notamment des tentatives de désactivation du compte invité du système et d’activation du compte Administrateur intégré. Plusieurs commandes « net » ont été exécutées pour énumérer les utilisateurs, réinitialiser les mots de passe et créer des comptes supplémentaires.
Les analystes ont tracé l’activité jusqu’à un binaire lié à Net Monitor for Employees, qui avait lancé une application pseudo-terminal permettant l’exécution de commandes. L’outil a téléchargé un binaire SimpleHelp depuis une adresse IP externe, après quoi l’attaquant a tenté de manipuler Windows Defender et de déployer plusieurs versions de Crazy ransomware, faisant partie de la famille VoidCrypt.
Dans la seconde intrusion, observée début février, les attaquants ont pénétré via un compte VPN SSL compromis d’un fournisseur et se sont connectés via le protocole RDP à un contrôleur de domaine. De là, ils ont installé l’agent Net Monitor directement depuis le site du fournisseur. Les attaquants ont personnalisé les noms de services et de processus pour imiter des composants légitimes de Windows, déguisant le service en lien avec OneDrive et renommant le processus en cours d’exécution.
Ils ont ensuite installé SimpleHelp comme canal persistant supplémentaire et configuré des déclencheurs de surveillance basés sur des mots-clés ciblant des portefeuilles de cryptomonnaies, des échanges, des plateformes de paiement, ainsi que d’autres outils d’accès à distance. Huntress a indiqué que cette activité montrait des signes clairs de motivation financière et d’évasion délibérée de la défense.
Network LookOut, la société derrière Net Monitor for Employee, a déclaré à Decrypt que l’agent ne peut être installé que par un utilisateur disposant déjà de privilèges administratifs sur l’ordinateur où il doit être installé. « Sans privilèges administratifs, l’installation n’est pas possible », a-t-elle précisé par email.
« Donc, si vous ne souhaitez pas que notre logiciel soit installé sur un ordinateur, assurez-vous que l’accès administratif n’est pas accordé à des utilisateurs non autorisés, car l’accès administratif permet l’installation de tout logiciel. »
Ce n’est pas la première fois que des hackers tentent de déployer un ransomware ou de voler des informations via du bossware. En avril 2025, des chercheurs ont révélé que WorkComposer, une application de surveillance en milieu de travail utilisée par plus de 200 000 personnes, avait laissé plus de 21 millions de captures d’écran en temps réel exposées dans un espace de stockage cloud non sécurisé, risquant de divulguer des données sensibles, des identifiants et des communications internes.
