Elastic Security Labs dévoile la campagne REF6598 qui détourne Obsidian pour déployer le RAT PHANTOMPULSE chez les professionnels finance et crypto.
En bref
- Elastic Security Labs a révélé le 14 avril 2026 une campagne qui détourne Obsidian pour déployer un RAT baptisé PHANTOMPULSE.
- Les attaquants se font passer pour un fonds d'investissement, approchent leurs cibles sur LinkedIn puis Telegram, et imposent Obsidian comme base de données projet.
- Le backdoor utilise la blockchain Ethereum pour résoudre son serveur de commande, contournant ainsi les systèmes classiques de blocage DNS.
Ce qui s'est passé
Les chercheurs d'Elastic Security Labs ont publié le 14 avril 2026 une analyse détaillée d'une campagne de social engineering baptisée REF6598, qui vise spécifiquement des professionnels des secteurs financier et crypto. Le vecteur d'intrusion repose sur un abus du marketplace de plugins communautaires d'Obsidian, application de prise de notes massivement adoptée ces dernières années dans les équipes techniques et les fonds d'investissement. Concrètement, les opérateurs se présentent comme les représentants d'un venture capital fictif, engagent la discussion sur LinkedIn, puis redirigent leurs cibles vers un groupe Telegram où plusieurs faux associés interviennent pour renforcer la crédibilité du scénario. La victime est ensuite invitée à installer Obsidian pour accéder à un coffre-fort partagé hébergé chez un prestataire cloud, et à activer des plugins spécifiques pour consulter un tableau de bord de liquidité censé orienter la conversation commerciale.
C'est à ce stade que le piège se referme. Le coffre Obsidian fourni par les attaquants embarque un plugin communautaire de type Shell Commands, qui exécute du code arbitraire au nom de l'utilisateur dès l'ouverture du fichier. Le payload déposé, identifié comme PHANTOMPULSE par Elastic, est décrit par les analystes comme un RAT partiellement généré par IA, écrit pour Windows et macOS. Une fois actif, il collecte la télémétrie système, exfiltre fichiers et frappes clavier, envoie des captures d'écran et reçoit ses ordres via WinHTTP.
Originalité technique de la campagne : le malware ne contacte pas directement un serveur C2 statique. Il interroge la blockchain Ethereum pour récupérer la dernière transaction associée à un portefeuille codé en dur, et en extrait l'adresse active du serveur de commande. Ce schéma rend le blocage par liste DNS ou IP largement inefficace.
Pourquoi c'est important
La campagne PHANTOMPULSE illustre une bascule qui devient structurelle dans les attaques ciblées : la supply chain applicative ne se limite plus aux dépendances logicielles, elle inclut désormais les plugins d'outils de productivité. Obsidian, Notion ou VS Code partagent tous des marketplaces communautaires faiblement modérés, où l'exécution de code local est la norme. Les contrôles classiques (antivirus, EDR, proxy web) peinent à distinguer une activité plugin légitime d'une porte dérobée embarquée dans un coffre. Ce mode opératoire rappelle le ciblage géographique du malware bancaire JanelaRAT en Amérique latine, où le vecteur social précède toujours le vecteur technique.
Pour les équipes cybersécurité, deux enseignements s'imposent. D'abord, le social engineering LinkedIn + Telegram s'inscrit dans une logique long cycle qui ressemble aux opérations d'APT étatiques telles qu'APT28 et son malware PRISMEX : plusieurs semaines de mise en confiance avant l'intrusion. Ensuite, l'utilisation d'Ethereum pour la résolution C2 annonce la fin des stratégies de détection basées sur la réputation d'infrastructure, une tendance déjà observée dans les opérations nord-coréennes ciblant les plateformes crypto et dans la campagne de la fausse application Ledger Live sur l'App Store.
Ce qu'il faut retenir
- Limitez l'installation de plugins Obsidian aux seules extensions signées et auditées, en particulier celles qui exposent des commandes shell.
- Surveillez les communications sortantes vers les nœuds RPC Ethereum publics depuis les postes métier, un indicateur faible mais révélateur.
- Sensibilisez explicitement les équipes finance et crypto aux approches LinkedIn suivies d'une demande d'installation d'outils de productivité.
Comment détecter PHANTOMPULSE sur un poste Windows ou macOS ?
Les indicateurs les plus robustes restent comportementaux. Surveiller les processus enfants lancés par Obsidian, en particulier cmd.exe, powershell.exe ou bash, ainsi que les connexions sortantes vers des nœuds RPC Ethereum publics depuis un processus utilisateur. Elastic a publié des règles de détection spécifiques pour Defender et pour sa propre suite. Côté EDR, une règle simple bloquant l'exécution de binaires depuis le répertoire utilisateur %APPDATA%obsidianplugins couvre l'essentiel de la surface d'attaque.
Obsidian est-il vulnérable au sens strict ?
Non. L'application n'exploite aucune faille de sécurité : le comportement observé relève d'une fonctionnalité documentée, celle des plugins communautaires qui peuvent exécuter du code local. Le correctif ne viendra donc pas d'une mise à jour Obsidian, mais d'une politique d'entreprise limitant les plugins autorisés et d'une sensibilisation des utilisateurs. Obsidian a confirmé étudier des mécanismes de signalement renforcés pour son marketplace, sans calendrier engageant à ce stade.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-20184 : faille critique SSO Cisco Webex corrigée
CVE-2026-20184 (CVSS 9.8) : faille critique SSO Cisco Webex permettant d'usurper n'importe quel utilisateur. Action requise pour les clients en SSO.
Claude Opus 4.7 : Anthropic officialise son modèle phare
Anthropic officialise Claude Opus 4.7 ce 16 avril 2026. Résolution visuelle triplée, mode xhigh et task budgets agentiques : ce que la mise à jour change.
ShinyHunters publie 78,6 millions de records Rockstar (GTA Online)
Apres l'expiration de l'ultimatum du 14 avril 2026, ShinyHunters a publie 78,6 millions d'enregistrements lies a GTA Online et Red Dead Online. La compromission est passee par le SaaS tiers Anodot.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire