En bref

  • Cisco Talos documente l'abus massif des webhooks n8n.cloud pour livrer du malware via e-mails de phishing depuis octobre 2025.
  • Volume en hausse de 686 % entre janvier 2025 et mars 2026 : les domaines *.app.n8n.cloud sont considérés comme de confiance par les gateways.
  • La charge finale installe une version modifiée de l'outil RMM Datto, donnant aux attaquants un accès distant persistant et légitime en apparence.

Ce qui s'est passé

Les chercheurs de Cisco Talos ont publié une analyse détaillée d'une campagne de phishing exploitant la plateforme d'automatisation n8n. Les attaquants créent de simples comptes développeurs gratuits, ce qui provisionne automatiquement un sous-domaine sous *.app.n8n.cloud. Ces sous-domaines, rattachés à une marque SaaS reconnue, traversent la majorité des filtres mail d'entreprise sans être marqués comme suspects.

Le schéma d'attaque combine deux techniques. D'une part, les e-mails contiennent un lien vers un webhook n8n se faisant passer pour un document partagé ; le clic amène la victime sur un CAPTCHA, suivi du téléchargement d'un fichier nommé « DownloadedOneDriveDocument.exe ». D'autre part, les mêmes e-mails embarquent un pixel 1×1 qui, une fois affiché, appelle un autre webhook avec l'adresse e-mail et les métadonnées système de la cible — un fingerprinting silencieux permettant de ne cibler que les machines jugées intéressantes.

La charge finale n'est pas un malware classique : il s'agit d'une version modifiée de l'agent RMM de Datto, qui s'installe comme un service légitime et ouvre un canal de contrôle distant complet. PowerShell est ensuite utilisé pour escalader et exfiltrer. Le volume mesuré par Talos en mars 2026 représente une augmentation de 686 % par rapport à janvier 2025.

Pourquoi c'est important

L'usage détourné d'infrastructures SaaS légitimes (Cloudflare Workers, Vercel, pages.dev, n8n.cloud) pour héberger des pages de phishing ou des stagers n'est pas nouveau, mais n8n ajoute un ingrédient spécifique : l'automatisation sert également à orchestrer la logique d'attaque côté serveur, à réduire le temps de rotation des infrastructures et à collecter les données volées sans serveur attaquant dédié. C'est un exemple concret de « LOLSaaS » — Living off the Legitimate SaaS.

Pour les équipes SOC, cela signifie que bloquer simplement les domaines « suspects » n'est plus une stratégie viable : il faut inspecter le contenu livré, surveiller les invocations d'agents RMM non autorisés et activer les listes d'allow-listing pour les outils de télémaintenance dans les politiques EDR. Détecter un agent Datto installé en dehors du périmètre MSP est devenu un cas d'usage de détection à part entière.

Ce qu'il faut retenir

  • La confiance implicite accordée aux sous-domaines SaaS (*.app.n8n.cloud, *.pages.dev, *.workers.dev) doit être réévaluée dans les gateways de messagerie.
  • Détecter toute installation d'un agent RMM non prévu (Datto RMM, ConnectWise, AnyDesk, TeamViewer) via une règle d'inventaire applicatif simple.
  • Bloquer l'exécution de binaires fraîchement téléchargés depuis un domaine SaaS via la règle ASR « Block executable content from email and webmail ».

Faut-il bloquer complètement le domaine n8n.cloud dans les proxies ?

Pas nécessairement. Beaucoup d'organisations utilisent n8n pour de l'automatisation interne légitime. Une approche plus équilibrée consiste à journaliser tous les accès sortants vers *.app.n8n.cloud, à les corréler avec l'ouverture d'un e-mail entrant et à bloquer les seules réponses qui déclenchent un téléchargement exécutable.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact