OnyxC2 : stealer MaaS à 250 $/mois, 210 apps ciblées

Un stealer professionnel à portée de n'importe quel cybercriminel

Depuis début juin 2026, les chercheurs en sécurité de SecurityWeek, Blackfog et Rescana tirent la sonnette d'alarme sur l'émergence d'OnyxC2, un nouveau Malware-as-a-Service (MaaS) apparu dans les forums cybercriminels clandestins. Ce qui distingue OnyxC2 des stealers habituels, c'est la sophistication de son modèle commercial et la profondeur de ses capacités offensives, le tout accessible à n'importe qui moyennant 250 dollars par mois.

OnyxC2 propose trois niveaux tarifaires. L'abonnement standard à 250 $/mois donne accès à un builder complet permettant de générer des variantes personnalisées du malware. Le tier premium à 500 $/mois ajoute l'HVNC (High-Volume Network Interface), une fonctionnalité permettant le contrôle à distance invisible de la machine compromise. Enfin, pour 6 000 dollars, les acheteurs peuvent acquérir le code source intégral, accompagné d'un guide d'installation et d'un support optionnel — une offre qui transforme l'acheteur en distributeur potentiel du service.

Le périmètre d'attaque d'OnyxC2 est impressionnant : le malware cible simultanément plus de 210 applications et extensions de navigateur. Parmi les cibles documentées figurent les principaux navigateurs web (Chrome, Firefox, Edge, Brave, Opera), les gestionnaires de mots de passe, les applications de messagerie, les clients VPN, les extensions d'authentification à deux facteurs, ainsi qu'une large gamme de portefeuilles de cryptomonnaies. Pour chaque victime compromise, OnyxC2 aspire en une seule exécution les credentials de navigation, les données des gestionnaires de mots de passe, les codes 2FA en cours, et les clés privées des wallets.

La technique d'évasion la plus préoccupante documentée par Blackfog concerne les résultats sur VirusTotal. Les deux échantillons soumis à la plateforme au 30 mai 2026 sont revenus sans aucune détection lors du premier upload, le composant malveillant restant indétecté au moment de la publication de leur rapport. OnyxC2 combine plusieurs techniques d'évasion : des payloads chiffrés qui rendent l'analyse statique difficile, du DLL sideloading pour se glisser dans des processus légitimes, et de l'exécution en mémoire (fileless execution) qui évite de laisser des traces sur le disque.

Sur le plan de l'infrastructure de commande et contrôle (C2), OnyxC2 utilise une technique sophistiquée : le domain fronting via Cloudflare. Concrètement, les communications entre les machines compromises et l'infrastructure des attaquants transitent par les CDN de Cloudflare, ce qui les rend indiscernables du trafic HTTPS légitime à l'analyse réseau classique. Cette approche complique considérablement la détection et le blocage de l'infrastructure C2 par les équipes de sécurité réseau.

Parmi les capacités avancées documentées par les chercheurs de gbhackers et Rescana, on trouve le dumping de la mémoire LSASS (Local Security Authority Subsystem Service) de Windows, qui permet d'extraire les hachages NTLM et dans certains cas les mots de passe en clair des comptes Windows actifs. S'y ajoute un proxy SOCKS5 inversé qui transforme chaque machine compromise en relais réseau utilisable par les attaquants pour rebondir vers d'autres cibles, rendant le traçage de l'origine des attaques encore plus difficile.

Le timing d'apparition d'OnyxC2 n'est pas anodin. Il intervient dans un contexte de démocratisation rapide des outils offensifs, où la barrière technique d'entrée pour mener des attaques sophistiquées s'effondre. Pour 250 dollars par mois — le prix d'un abonnement logiciel professionnel — un acteur malveillant sans expertise technique peut désormais opérer un stealer enterprise-grade. Cette accessibilité économique est ce qui préoccupe le plus les analystes de SecurityWeek : le profil des attaquants ne se limite plus aux groupes APT étatiques ou aux gangs ransomware structurés, mais s'étend désormais aux cybercriminels opportunistes de niveau intermédiaire.

La chaîne d'approvisionnement représente un risque spécifique. Si un développeur ou un administrateur système se fait compromettre par OnyxC2, les attaquants récupèrent potentiellement des tokens GitHub, des clés d'API cloud (AWS, Azure, GCP), des certificats de signature de code, des accès VPN corporatifs et des variables d'environnement contenant des secrets applicatifs. Une seule machine de développeur compromise peut donc devenir le point d'entrée d'une attaque supply chain de grande ampleur.

Pourquoi la montée des MaaS sophistiqués change la donne défensive

L'émergence d'OnyxC2 s'inscrit dans une tendance lourde documentée depuis 2024 : la professionnalisation absolue de l'écosystème cybercriminel. Des services comme RedLine Stealer, Raccoon Stealer ou LummaC2 ont déjà démontré que le modèle MaaS est économiquement viable pour les opérateurs et stratégiquement dévastateur pour les victimes. OnyxC2 représente une nouvelle génération de ces outils, avec des capacités d'évasion plus avancées et un modèle tarifaire plus accessible.

Ce qui change fondamentalement la posture défensive, c'est l'inefficacité croissante des antivirus basés sur les signatures. Quand deux échantillons d'un malware actif passent à travers 70+ moteurs antivirus sur VirusTotal sans déclencher la moindre alerte, les approches de détection traditionnelles montrent leurs limites structurelles. Les équipes SOC doivent aujourd'hui parier sur la détection comportementale (EDR), l'analyse des anomalies de trafic réseau, et la supervision des processus mémoire plutôt que sur la reconnaissance de signatures connues.

Pour les entreprises françaises, la menace est directe. Les secteurs les plus exposés sont ceux où les collaborateurs manipulent des identifiants privilégiés depuis des postes de travail connectés : finance, santé, collectivités, ESN et intégrateurs IT. Dans le contexte de NIS2 — dont les premiers audits de conformité ont démarré en France — la compromission de credentials d'accès aux systèmes d'information critiques constitue précisément le type d'incident qui devra être notifié à l'ANSSI sous 24 heures. La mise en place d'une gestion des identifiants dédiée et d'un EDR correctement configuré devient non seulement une bonne pratique, mais une exigence réglementaire.

Les chercheurs recommandent une attention particulière aux chaînes d'approvisionnement logicielles internes. La capacité d'OnyxC2 à exfiltrer des tokens d'API et des secrets d'environnement transforme chaque poste de développeur en cible à haute valeur. Les pratiques de type secrets scanning sur les dépôts Git, la rotation régulière des credentials cloud, et le principe de moindre privilège pour les pipelines CI/CD deviennent des contre-mesures directement pertinentes face à ce type de menace.

Ce qu'il faut retenir

• OnyxC2 est un stealer MaaS à 250 $/mois ciblant 210+ applications, avec HVNC, dumping LSASS et C2 fronté via Cloudflare — indétectable par les antivirus traditionnels au 30 mai 2026.
• La barrière d'entrée technique ayant quasiment disparu, n'importe quel cybercriminel de niveau intermédiaire peut désormais opérer un outil de vol de credentials enterprise-grade.
• Priorité défensive : déployer un EDR avec détection comportementale, mettre en place un secrets scanning dans les pipelines CI/CD, et sensibiliser les équipes de développement au risque de compromission de leurs postes de travail.