Cato Networks alerte sur l’usage détourné des VPN maillés dans les cyberattaques
L’analyse d’une attaque menée en France montre comment des outils légitimes d’accès distant peuvent permettre à un attaquant de maintenir son emprise même après la disparition de son infrastructure C2.
Cato Networks publie une analyse de Cato CTRL consacrée à une cyberattaque ayant touché une PME automobile française et plusieurs particuliers. L’opération, menée entre le 30 mars et le 1er mai 2026, met en avant un point particulièrement sensible pour les architectures réseau, celui de l’usage détourné d’outils d’accès distant et de VPN maillés pour maintenir une présence sur les systèmes compromis.
Dans cette campagne, l’attaquant, identifié sous le pseudonyme « Poisson », a utilisé une chaîne d’intrusion en plusieurs étapes. Après avoir obtenu un accès initial, il a installé différents mécanismes de persistance, dont des tâches planifiées, un outil de bureau à distance et, surtout, une combinaison OpenSSH et Tailscale VPN. Cette dernière lui a permis de créer un accès indépendant de son serveur de commande et contrôle.
Ce choix technique change la logique de défense. Le serveur C2 de l’attaquant est devenu indisponible le 8 avril. Dans un scénario classique, cette coupure aurait pu interrompre l’opération. Mais l’accès via Tailscale et SSH a continué de fonctionner sur la machine compromise. Lorsque le C2 est revenu en ligne dix-huit jours plus tard, les connexions se sont rétablies automatiquement.
L’intérêt de ce type de persistance est évident pour un attaquant. Un réseau VPN maillé permet de créer un chemin d’accès chiffré, souvent moins visible qu’une connexion malveillante classique. Aucun port public n’a besoin d’être exposé, et l’outil utilisé peut ressembler à une solution légitime d’administration ou de connectivité.
Pour les entreprises, cette évolution souligne la nécessité de mieux surveiller les flux sortants et l’installation d’outils réseau sur les postes utilisateurs. L’apparition d’un serveur OpenSSH sur une machine Windows non prévue pour cet usage, l’installation soudaine d’un client VPN, ou la création de tunnels SSH vers l’extérieur doivent devenir des signaux d’alerte.
L’analyse de Cato CTRL montre aussi que la frontière entre outil légitime et outil malveillant dépend de plus en plus du contexte. Tailscale, OpenSSH ou RustDesk ne sont pas, par nature, des outils offensifs. Mais lorsqu’ils apparaissent sur des postes qui ne les utilisent pas habituellement, avec des connexions vers des destinations inconnues, ils peuvent indiquer une compromission active.
Cette attaque illustre donc l’importance d’une approche unifiée du réseau et de la sécurité. Les équipes doivent pouvoir corréler les comportements endpoint, les flux réseau, les destinations externes, les accès distants et les anomalies d’usage. Sans cette visibilité, un accès persistant peut rester en place plusieurs semaines, même après une action de neutralisation sur l’infrastructure de l’attaquant.
Avec ce cas français, Cato Networks rappelle que la sécurité réseau ne se limite plus au filtrage des menaces connues. Elle doit permettre d’identifier les chemins de persistance, les usages inhabituels d’outils légitimes et les accès qui survivent à la disparition d’un serveur C2.