Cobalt Strike est la plateforme commerciale de Command and Control (C2) la plus utilisee au monde pour les operations red team et la simulation d'adversaires (adversary simulation). Concue en 2012 par Raphael Mudge, fondateur de Strategic Cyber LLC, elle a ete rachetee en 2020 par HelpSystems puis integree au portefeuille Fortra en 2022. Cobalt Strike fournit un Team Server collaboratif qui orchestre des implants nommes Beacons (HTTP, HTTPS, DNS, SMB, TCP, External C2), un moteur de profils Malleable C2 permettant de modeler le trafic reseau pour mimer des APT connus, ainsi qu'un langage de scripting Aggressor Script base sur Sleep pour automatiser les tactiques. Devenu le standard de fait des consultants offensifs, Cobalt Strike est aussi malheureusement l'outil prefere des operateurs de rancongiciels (Conti, LockBit, BlackCat) et de groupes APT etatiques apres la fuite de versions cracked sur GitHub en 2020. Cette page entity couvre l'architecture Team Server / Beacons / Listeners, les techniques de lateral movement, les profils Malleable C2, la detection cote EDR, le comparatif avec Sliver, Empire, Mythic et Brute Ratel C4, ainsi que les aspects legaux d'utilisation pour mieux comprendre l'ecosysteme C2 commercial moderne.

L'essentiel a retenir

  • Cobalt Strike est la plateforme C2 commerciale dominante pour les operations red team, editee par Fortra (ex-HelpSystems) au prix d'environ $3 540 par utilisateur et par an.
  • Architecture en trois couches : Team Server (Java, port 50050), Beacons (implants Windows en C) et Listeners (HTTP/HTTPS/DNS/SMB/TCP/External C2) orchestres via le client Aggressor.
  • Les Malleable C2 profiles permettent de mimer le trafic d'APT connus (APT29, FIN7) et de contourner les signatures reseau via personnalisation de chaque header HTTP, cookie, URI et metadata.
  • Cobalt Strike est massivement abuse depuis la fuite GitHub de novembre 2020 : il est utilise dans plus de 66 % des incidents ransomware selon le rapport Cisco Talos 2023.
  • Concurrents serieux : Sliver (BishopFox, open source Go), Mythic (modulaire, multi-agents), Empire (open source PowerShell/Python), Brute Ratel C4 (commercial, OPSEC-first).

Definition : qu'est-ce que Cobalt Strike ?

Cobalt Strike est un framework commercial d'adversary simulation et de post-exploitation destine aux equipes red team, aux consultants en pentest Active Directory et aux operateurs purple team. Concretement, Cobalt Strike permet de reproduire de maniere controlee les tactiques, techniques et procedures (TTPs) employees par des adversaires reels — APT etatiques, groupes criminels, operateurs de rancongiciels — afin d'evaluer la posture defensive d'une organisation cible (capacite de detection, de reponse et de containment).

Au coeur de Cobalt Strike se trouve le Beacon, un implant Windows ecrit en C, capable de communiquer avec son Team Server via plusieurs canaux (HTTP, HTTPS, DNS, SMB nommes pipes, TCP, ou un transport personnalise External C2). Le Beacon supporte deux modes de communication : asynchrone (le Beacon « dort » entre deux check-ins selon un intervalle configurable, modele low and slow) et interactive (sleep ramene a 0, idealement utilise pour le lateral movement actif).

Cobalt Strike se distingue des autres frameworks par trois piliers : (1) la collaboration multi-operateurs via Team Server, (2) la customisation poussee du trafic via les profils Malleable C2, et (3) l'extensibilite via le langage Aggressor Script. C'est cette combinaison qui en a fait l'outil de reference depuis plus d'une decennie.

Histoire : de Raphael Mudge a Fortra

L'histoire de Cobalt Strike est intimement liee a celle de son createur, Raphael Mudge. En 2010, Mudge developpe Armitage, une interface graphique collaborative pour Metasploit. En 2012, il fonde Strategic Cyber LLC et publie la premiere version de Cobalt Strike comme extension commerciale d'Armitage, ajoutant le concept de Beacon et le scripting Aggressor.

Les jalons cles :

  • 2012 : sortie de Cobalt Strike 1.0 par Raphael Mudge / Strategic Cyber LLC.
  • 2014 : Cobalt Strike 2.0 introduit les Malleable C2 profiles, revolutionnant la customisation du trafic.
  • 2017 : Cobalt Strike 3.0 abandonne la dependance a Metasploit. Beacon devient un implant autonome.
  • Mars 2020 : HelpSystems rachete Strategic Cyber LLC. Raphael Mudge reste un temps comme architecte avant de quitter l'entreprise.
  • Novembre 2020 : fuite du source code de Cobalt Strike 4.0 sur GitHub. C'est le debut de l'explosion des versions cracked.
  • 2021 : Cobalt Strike 4.4 introduit des protections anti-leak (token, signatures de licence renforcees).
  • 2022 : HelpSystems rebrande en Fortra. Cobalt Strike devient un produit phare du portefeuille offensive security Fortra.
  • 2024-2025 : versions 4.9 et 4.10 — focus sur l'evasion EDR (sleep mask BeaconGate, stack spoofing, execution syscalls indirects).

Raphael Mudge a publie de nombreuses videos pedagogiques sur YouTube (chaine Raphael Mudge) qui restent aujourd'hui les meilleures ressources pour comprendre la philosophie de l'outil. Apres son depart, le developpement est assure par les equipes Fortra, qui ont mis en place un partenariat avec Microsoft, Health-ISAC et Fortra DSU en 2023 pour traquer et faire saisir les versions cracked en circulation.

Architecture : Team Server, Beacons, Listeners, Aggressor Client

L'architecture Cobalt Strike repose sur quatre composants distincts. Comprendre leurs interactions est essentiel pour deployer une infrastructure C2 robuste.

Team Server (le coeur)

Le Team Server est le composant serveur central, ecrit en Java, deploye sur Linux (typiquement Debian/Ubuntu sur un VPS exterieur). Il ecoute par defaut sur le port TCP 50050 (TLS) pour les connexions Aggressor Client. Le Team Server :

  • Heberge la base SQLite des hosts, credentials, downloads, screenshots, keystrokes.
  • Gere les Listeners actifs et leurs configurations Malleable C2.
  • Orchestre les Beacons connectes (job queue, sleep timers, tasks).
  • Diffuse en temps reel les evenements aux Aggressor Clients connectes (collaborative red team).

Aggressor Client

L'Aggressor Client (parfois appele Cobalt Strike Client) est l'application graphique Java executee localement par l'operateur. Plusieurs operateurs peuvent se connecter simultanement au meme Team Server, partageant la vue du data model (Pivot Graph, Targets, Sessions, Listeners). Le client permet egalement de charger des extensions .cna (Cobalt Strike Aggressor) ecrites en Sleep.

Beacon (l'implant)

Le Beacon est l'implant Windows execute sur la machine compromise. Ecrit en C, il s'agit d'une DLL refletee chargee en memoire (modele reflective DLL injection). Il existe deux familles de Beacons :

  • Stage 0 : un petit shellcode initial (~270 octets) qui telecharge le Beacon complet depuis le Team Server.
  • Stageless : Beacon complet livre en un seul payload (~250 KB), evite la detection des stagers.

Listeners (les transports)

Un Listener est la configuration cote Team Server qui definit le protocole et les parametres de communication d'un Beacon. Cobalt Strike supporte les types : HTTP, HTTPS, DNS, SMB (named pipe), TCP (bind/reverse), External C2, Foreign Listener (relais vers Metasploit), et le mode Hybrid HTTP-DNS pour la resilience.

Beacons : modes asynchrone et interactive

Le Beacon est le cheval de Troie de Cobalt Strike. Sa flexibilite repose sur deux concepts cles : les transports (canaux de communication) et le sleep model (cadence des check-ins).

Sleep et Jitter

Chaque Beacon a un parametre sleep (par defaut 60 secondes) et un jitter (variation aleatoire en pourcentage, par defaut 0 %). Une commande sleep 300 30 configure le Beacon a check-in toutes les 5 minutes ± 30 % (entre 3,5 et 6,5 min). Cette configuration low and slow est cle pour rester sous le radar des SIEM et EDR comportementaux. Lors du lateral movement actif, l'operateur passe en mode interactive via sleep 0 pour des reponses instantanees.

Transports HTTP/HTTPS

Les transports HTTP(S) restent les plus utilises car ils se fondent dans le trafic web legitime. Le Beacon execute des requetes GET (check-in) et POST (exfiltration) vers des URIs configurables via le profil Malleable C2. La domain fronting (longtemps populaire via Azure / Cloudfront) a ete largement bloquee par les fournisseurs cloud, poussant vers des techniques comme le redirector Apache/Nginx + categorisation de domaine.

DNS Beacon

Le DNS Beacon communique via des requetes DNS TXT, A ou AAAA vers un domaine controle. Tres lent (latence elevee, faible bande passante), mais redoutablement furtif dans les environnements ou seul le DNS est autorise en sortie. Il existe en mode DNS-only ou Hybrid DNS-HTTP.

SMB Beacon (peer-to-peer)

Le SMB Beacon ne communique pas directement avec le Team Server : il etablit un named pipe (\\.\pipe\msagent_xxx) avec un Beacon parent dans le meme reseau interne. Indispensable pour pivoter dans des segments reseau sans acces internet direct (DMZ, VLAN serveurs).

TCP Beacon et External C2

Le TCP Beacon fonctionne comme le SMB Beacon mais via un socket TCP (bind ou reverse). L'External C2 est une interface specifique permettant a un developpeur tiers d'implementer son propre canal de communication custom (Slack, Teams, Office 365 mailbox, GitHub gists, etc.) tout en preservant le protocole interne Beacon.

Malleable C2 profiles : l'arme secrete

Les profils Malleable C2 sont la fonctionnalite qui a etabli Cobalt Strike comme reference. Un profil est un fichier texte definissant chaque aspect du trafic HTTP/HTTPS : URI, headers, User-Agent, cookies, parametres, encodage du metadata Beacon, taille des chunks d'exfiltration, certificat SSL, et meme le shellcode loader.

Concretement, un profil Malleable C2 permet de faire ressembler le trafic Beacon a celui d'une application legitime : Microsoft Update, Amazon S3, Pandora, Slack, Outlook Web Access. Mieux encore, les profils peuvent mimer des APT connus grace au repository public threatexpress/malleable-c2 qui contient des profils repliquant APT29, APT41, FIN7, etc. Cette technique de false flag est utilisee aussi bien en operations offensives qu'en exercices de test des EDR.

Les blocs cles d'un profil sont :

  • http-get et http-post : structure des requetes de check-in et d'exfiltration.
  • http-stager : configuration du staging (taille, URI, server response).
  • https-certificate : caracteristiques du certificat TLS (CN, OU, validity).
  • process-inject : strategies d'injection dans des processus distants.
  • post-ex : configuration des modules post-exploitation (psh import, smartinject, spawnto_x86/x64).
  • stage : transformations appliquees au shellcode (sleep_mask, magic_mz_x64, userwx).

Une mauvaise configuration de profil produit des IoC reseau evidents (User-Agent par defaut Mozilla/4.0, URI /__utm.gif) detectes par tous les EDR et NDR modernes. C'est pourquoi un red teamer experimente customise toujours son profil et le valide via c2lint, l'outil de verification fourni par Cobalt Strike.

Lateral movement : Pass-the-Hash, Pass-the-Ticket et plus

Une fois un Beacon execute sur un host initial, l'operateur exploite Cobalt Strike pour pivoter lateralement dans le reseau. Cobalt Strike supporte nativement les techniques classiques d'attaque Active Directory :

  • Pass-the-Hash (PtH) : commande pth ou make_token pour s'authentifier avec un hash NTLM extrait par Mimikatz. Beacon utilise des appels API natifs (NTLMSetWindowsLogonChain) pour eviter de toucher le LSASS ulterieurement.
  • Pass-the-Ticket (PtT) : injection de tickets Kerberos (golden ticket, silver ticket) via kerberos_ticket_use et kerberos_ticket_purge.
  • WMI : execution distante via jump winrm, jump wmi, ou remote-exec wmi. Compatible avec les Listeners SMB ou TCP pour le retour de Beacon.
  • PsExec : jump psexec et jump psexec_psh deposent un service Windows transitoire executant le Beacon SMB.
  • WinRM : jump winrm64 exploite l'authentification PowerShell Remoting.
  • DCOM : execution via MMC20.Application ou ShellWindows pour eviter les detections classiques de PsExec.

L'integration native avec BloodHound est courante : les operateurs important leurs Beacons dans BloodHound pour identifier les shortest paths vers Domain Admin avant de declencher le mouvement lateral. Pour une vue complete des chemins d'attaque AD, consultez notre analyse de la surface d'attaque invisible Active Directory.

Privilege escalation et persistence

Au-dela du mouvement lateral, Cobalt Strike fournit des modules natifs et des Beacon Object Files (BOF) pour l'elevation de privileges et la persistence.

Pour l'elevation locale :

  • elevate uac-token-duplication : contournement UAC par duplication de token elevated.
  • elevate svc-exe : exploitation d'un service Windows mal configure.
  • getsystem : escalade SYSTEM via named pipe impersonation (heritee de Meterpreter).
  • BOF customs : exploitation de CVE comme PrintNightmare, ZeroLogon ou des vulnerabilites de pilotes (BYOVD).

Pour la persistence, Cobalt Strike ne fournit pas de mecanisme natif sophistique (pas de rootkit), considerant que la persistence reseau passe par la multiplication des Beacons et l'utilisation de techniques OS standard via Aggressor Script : tache planifiee, service Windows, cle Run du registre, WMI Event Subscription, COM hijacking. Les operateurs experimentes preferent souvent un second framework dedie a la persistence (Empire, Mythic Apollo) pour ne pas dependre d'un seul C2.

Aggressor Script : extensibilite via Sleep

Aggressor Script est le langage d'extension de Cobalt Strike, base sur Sleep (un langage de scripting Java-like cree par Raphael Mudge en 2002). Les scripts .cna permettent de :

  • Ajouter des entrees aux menus contextuels (clic droit sur un Beacon).
  • Automatiser des chaines de commandes (ex : kerberoast + crack + spray).
  • Reagir a des evenements (on beacon_initial, on beacon_input).
  • Definir des aliases personnalises (alias mimikatz).
  • Charger dynamiquement des Beacon Object Files (BOF) ou des reflective DLLs.

L'ecosysteme communautaire est riche : CrossC2 (Beacons macOS/Linux), BeaconEye (detection cote blue), NimPlant (alternatives non Java), SharpKatz (Mimikatz natif via execute-assembly). Le repository github.com/Cobalt-Strike heberge les BOF et community kits officiels.

Spawn techniques et process injection

L'injection en memoire est centrale chez Cobalt Strike. Le Beacon supporte plusieurs strategies configurables via le bloc process-inject du profil Malleable C2.

Les techniques de spawn (creation d'un nouveau processus pour heberger un Beacon enfant) :

  • CreateThread classique : VirtualAllocEx + WriteProcessMemory + CreateRemoteThread. Detecte par tous les EDR depuis 2018.
  • EarlyBird APC injection : QueueUserAPC sur un thread suspendu, execution avant tout hook EDR.
  • SetThreadContext : modification du contexte d'un thread distant pour rediriger l'execution.
  • Module Stomping : chargement d'une DLL legitime puis ecrasement de son code par le shellcode Beacon.
  • ATP (Asynchronous Procedure Call) : variante avancee d'injection APC, populaire en 2024-2025.

Pour echapper aux EDR, Cobalt Strike a introduit en versions 4.7+ le BeaconGate : un mecanisme de function call routing permettant aux developpeurs de UDRL (User Defined Reflective Loader) de wrapper les appels Win32 sensibles via leur propre BOF (syscalls indirects, hardware breakpoints, Hells Gate). Ces techniques sont detaillees dans notre dossier EDR Bypass 2026 : techniques et contremesures.

Detection de Cobalt Strike : comment les EDR le reperent

Cobalt Strike est l'un des frameworks les plus etudies par les chercheurs en defense. Les vecteurs de detection se repartissent en quatre familles.

Signatures memoire

Le Beacon en memoire presente des artefacts identifiables : structures internes, strings caracteristiques, config block chiffre par XOR avec une cle connue (0x2e ou 0x69 historiquement). Des outils comme BeaconHunter, CobaltStrikeScan et 1768.py de Didier Stevens extraient ces configurations pour identifier les versions et profils utilises. Le sleep mask introduit en 4.4 chiffre la memoire du Beacon pendant les phases de sleep, mais les EDR modernes (CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint) ont developpe des heuristiques specifiques.

Patterns reseau

Sans profil Malleable C2 customise, le Beacon presente des IoC reseau bien documentes : URI /dpixel, /__utm.gif, /submit.php, User-Agent Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1), et surtout l'empreinte JA3/JA3S du client TLS Java sous-jacent. Les NDR comme Vectra, Darktrace, Corelight detectent ces signatures TLS meme avec un profil custom. La checksum8 du Beacon (URI suivie d'un checksum modulo 256 specifique) reste une signature historique.

Comportements post-exploitation

Les spawn-as-Service par PsExec, l'execution de rundll32.exe sans arguments, l'utilisation de named pipes \\.\pipe\msagent_xx ou \\.\pipe\status_xx sont autant de comportements detectes. Les regles de threat hunting MITRE (T1055.012, T1059.001, T1218.011) ciblent specifiquement Cobalt Strike.

Sandbox et emulation

Les sandbox modernes (Joe Sandbox, ANY.RUN, Hatching Triage) detonnent automatiquement les Beacons et extraient leur configuration via signatures YARA. Le projet community_kit et les recherches de Didier Stevens, Sergei Frankoff et Greg Lesnewich alimentent en continu les feeds CTI publics. Pour comprendre le contexte d'utilisation en kill chain, consultez notre anatomie d'une attaque ransomware.

Use cases legitimes : red team, purple team, formation

Cobalt Strike a ete concu pour des usages strictement professionnels et legaux. Les cas d'usage prevus par Fortra et la communaute red team :

  • Operations red team : exercices contractuels d'evaluation de la posture defensive d'une organisation, sur perimetre defini, avec mandat ecrit du client.
  • Purple team : exercices conjoints red/blue ou Cobalt Strike sert de plateforme de test pour ameliorer les detections SIEM/EDR en mode collaboratif (BAS, breach & attack simulation).
  • Adversary emulation : reproduction fidele de TTPs APT documentes par MITRE ATT&CK (S0154) dans le cadre de la methodologie Adversary Emulation Plan.
  • Formation et certification : Cobalt Strike est utilise dans les formations OSEP (Offensive Security), CRTO (Zero Point Security par Daniel Duggan), SEC565 (SANS Red Team Operations) et certaines formations Hack The Box Academy.
  • Recherche securite : detection engineering, dev de regles Sigma/YARA, recherche EDR.

La certification CRTO de Zero Point Security est devenue particulierement populaire car elle utilise Cobalt Strike comme outil principal et fournit une licence temporaire dans son lab.

Cracked versions et abus criminel : le revers de la medaille

Le succes de Cobalt Strike a un cout : il est devenu l'outil preferentiel des attaquants. Plusieurs phenomenes expliquent cette derive.

En novembre 2020, le code source decompile de Cobalt Strike 4.0 a fuite sur GitHub (publie initialement en aout 2020 par un utilisateur sous le nom scoffield). Cette fuite a permis a des operateurs malveillants de generer des Beacons fonctionnels sans payer la licence, et de developper des cracks pour les versions ulterieures.

Les consequences directes :

  • Plus de 66 % des operations de rancongiciel en 2022-2023 utilisent Cobalt Strike (rapport Cisco Talos).
  • Groupes ransomware operant avec CS : Conti, LockBit, BlackCat (ALPHV), Royal, Black Basta, Hive, Ryuk.
  • APT etatiques : APT29 (SVR), APT41 (Chine), Mustang Panda, FIN7, Cozy Bear.
  • Plus de trillion d'IoC Cobalt Strike indexes sur les feeds CTI publics (Censys, Shodan, MalwareBazaar).

En avril 2023, Microsoft Digital Crimes Unit, Health-ISAC et Fortra ont obtenu une injonction federale aux Etats-Unis pour saisir et perturber les serveurs hebergeant des versions cracked de Cobalt Strike. L'operation a abouti a la saisie de plusieurs centaines de domaines, mais l'arsenal cracked reste largement disponible sur les forums underground.

Versions, pricing et licensing

Cobalt Strike est commercialise uniquement aux entreprises verifiees apres un processus de validation strict mene par Fortra. Le tarif officiel (2025) est de $3 540 par utilisateur et par an, avec des remises pour les renouvellements et des packs multi-utilisateurs.

Versions notables :

  • 4.5 (2022) : amelioration BOF support, sleep mask renforce.
  • 4.7 (2022) : User Defined Reflective Loader (UDRL) custom, BeaconGate.
  • 4.8 (2023) : Postex DLLs, evasion AMSI native.
  • 4.9 (2023) : Beacon User Defined Reflective Loader (BeaconUDRL) ameliore, support Linux Beacon experimental.
  • 4.10 (2024) : callback functions pour BOF, ETW patching, integration plus poussee avec Outflank Stage 1.
  • 5.0 (annonce 2025-2026) : refonte du transport, support multi-OS natif (Linux, macOS), nouveau frontend.

Le processus d'achat impose de fournir une preuve d'identite, une mission contractuelle et passe par un vetting humain. Les particuliers et les pays sous embargo americain (Russie, Chine, Iran, Coree du Nord, Cuba) sont automatiquement refuses au titre des regulations EAR (Export Administration Regulations).

Comparatif : Cobalt Strike vs Sliver vs Empire vs Mythic vs Brute Ratel C4

Le marche des frameworks C2 s'est etoffe ces dernieres annees. Voici les alternatives serieuses :

Framework Editeur Modele Langage Forces Limites
Cobalt Strike Fortra Commercial $3540/an Java + C Maturite, Malleable C2, ecosysteme BOF Tres signature, abuse criminel
Sliver BishopFox Open source (GPLv3) Go Cross-platform, mTLS, WireGuard, gratuit Moins de modules post-ex matures
Empire BC-SECURITY Open source (BSD-3) Python + PowerShell PowerShell-natif, modules nombreux PowerShell tres surveille, AMSI
Mythic Cody Thomas (@its_a_feature_) Open source (BSD-3) Python + multi Modulaire, multi-agents, UI moderne Courbe apprentissage, infra Docker
Brute Ratel C4 Dark Vortex (Chetan Nayak) Commercial $2500/an C OPSEC-first, syscalls indirects, badger Vetting strict, abuse documente APT29
Havoc C5pider Open source (GPLv2) C++ + Go Moderne, indirect syscalls, gratuit Jeune, moins d'industrialisation

Sliver est aujourd'hui considere comme le successeur open source serieux de Cobalt Strike, choisi par de nombreuses equipes red team pour sa flexibilite, son modele de transport mTLS et ses modules WireGuard. Brute Ratel C4 de Chetan Nayak (ex-Mandiant) cible le segment OPSEC-first mais a ete egalement leake et abuse par APT29 en 2022. Mythic seduit par son architecture modulaire (chaque agent peut etre code dans un langage different).

Limites et critiques de Cobalt Strike

Malgre sa domination, Cobalt Strike fait l'objet de critiques recurrentes :

  • Signatures bien connues : meme avec un profil Malleable custom, l'empreinte Java TLS, les patterns de sleep, les BOF compiles avec mingw-w64 sont detectes par les EDR de pointe.
  • Cout eleve : 3 540 $/utilisateur/an freine les petites structures et oriente vers les alternatives open source.
  • Abuse criminel : la reputation de l'outil souffre du fait que la majorite des incidents ransomware en font usage.
  • Stack Java : le Team Server en Java est lourd, parfois instable, et son client Aggressor souffre d'une UI vieillissante.
  • Pas de Linux Beacon mature : le support Linux reste experimental (4.9+), poussant vers CrossC2 ou Sliver pour les operations multi-OS.
  • Cycle de release trimestriel : les retards de patch face aux nouvelles techniques EDR sont frequemment combles par la communaute (BOF/UDRL custom) plutot que par Fortra.

Aspects legaux : utilisation pentest autorisee uniquement

L'utilisation de Cobalt Strike est strictement encadree. En droit francais et europeen, l'usage du framework hors d'un mandat ecrit relevait potentiellement de plusieurs infractions :

  • Articles 323-1 a 323-7 du Code penal : acces frauduleux a un STAD, alteration ou entrave au fonctionnement, jusqu'a 7 ans de prison et 300 000 € d'amende.
  • Article 323-3-1 : detention ou cession d'outils concus pour commettre les infractions ci-dessus, sans motif legitime (recherche, securite). La scientific exception et le contrat de pentest constituent les motifs legitimes admis.
  • Reglementation europeenne : NIS2 et DORA imposent des exercices de simulation d'attaque (TIBER-EU, TLPT) qui legitiment l'usage de C2 commerciaux.

Les regulations export US (EAR, ITAR) classent Cobalt Strike comme cybersecurity item. Fortra refuse les licences vers les pays sous embargo et les organisations sanctionnees (OFAC SDN List).

Pour un consultant exercant en France, les bonnes pratiques sont : (1) signer un contrat de mission avec mandat explicite et perimetre defini, (2) souscrire une assurance RC pro pentest, (3) documenter chaque action via Aggressor logs et timestamps, (4) chiffrer les artefacts (Beacons, screenshots, credentials) au repos, (5) detruire les donnees a la fin du mandat selon RGPD.

FAQ : questions frequentes sur Cobalt Strike

Existe-t-il une alternative open source serieuse a Cobalt Strike ?

Oui, plusieurs : Sliver (BishopFox, Go, le plus mature), Havoc (C5pider, C++/Go, moderne), Mythic (Cody Thomas, modulaire) et Empire (BC-SECURITY, PowerShell). Sliver est aujourd'hui considere comme le challenger le plus credible, adopte par de nombreuses equipes red team. Aucun n'egale toutefois la richesse du Malleable C2 et l'ecosysteme BOF de Cobalt Strike.

Sliver vs Cobalt Strike : lequel choisir ?

Cobalt Strike reste le standard pour les missions formelles, les certifications (CRTO, OSEP) et les exercices ou la maturite et le support fournisseur comptent. Sliver est preferable pour les budgets contraints, les operations Linux/macOS, les laboratoires de recherche et les CTF. Beaucoup d'equipes utilisent les deux en parallele : Cobalt Strike comme C2 principal et Sliver comme C2 secondaire pour la persistence multi-OS.

Peut-on utiliser une version cracked de Cobalt Strike ?

Non, jamais. Au-dela de l'illegalite (contrefacon, violation de licence), l'usage d'une version cracked expose l'operateur a : (1) backdoors implantees dans le crack (cas documentes en 2021-2022), (2) signatures CTI identifiant la version cracked et associant l'operateur a des campagnes criminelles, (3) poursuites judiciaires par Fortra et Microsoft DCU. Toute mission red team professionnelle doit utiliser une licence officielle ou un framework alternatif legal.

Comment detecter Cobalt Strike sur un endpoint EDR ?

Les EDR modernes (CrowdStrike, SentinelOne, Microsoft Defender XDR) detectent Cobalt Strike via : (1) signatures memoire du Beacon (config block XOR), (2) heuristiques sur les sleep masks et stack spoofing, (3) patterns de named pipes et thread injection, (4) comportements post-exploitation (rundll32 anormal, lsass.exe access). Cote reseau, les regles Suricata ETPRO et les signatures JA3/JA3S identifient le client TLS Java sous-jacent. Voir notre dossier EDR bypass 2026 pour les techniques offensives correspondantes.

Quelle formation pour apprendre Cobalt Strike ?

Plusieurs parcours reconnus : CRTO (Certified Red Team Operator de Zero Point Security, ~$400) — la formation la plus accessible, lab inclus avec Cobalt Strike. OSEP (Offensive Security Experienced Pentester, ~$1700) — focus evasion AV/EDR. SANS SEC565 Red Team Operations and Adversary Emulation (~$8000+) — formation premium. HTB Pro Labs (Dante, RastaLabs) pour pratiquer sans certification. Les videos YouTube de Raphael Mudge restent la reference pedagogique gratuite.

Cobalt Strike fonctionne-t-il sur Linux et macOS ?

Le Team Server tourne nativement sur Linux. Le client Aggressor fonctionne sur Linux, macOS et Windows (Java). En revanche, le Beacon est historiquement Windows uniquement. Pour cibler Linux ou macOS, les operateurs utilisent CrossC2 (projet communautaire), des agents Sliver ou Mythic en relais, ou attendent la sortie officielle de Cobalt Strike 5.0 qui devrait introduire un Linux Beacon natif.

Pour aller plus loin

Approfondissez votre comprehension de l'ecosysteme red team et des techniques associees a Cobalt Strike avec nos articles dedies :

Sources officielles : cobaltstrike.com, Fortra Cobalt Strike, MITRE ATT&CK S0154.