Cisco Talos documente l'abus des webhooks n8n.cloud pour livrer un agent RMM Datto modifié via phishing — volume en hausse de 686 % depuis janvier 2025.
En bref
- Cisco Talos documente l'abus massif des webhooks n8n.cloud pour livrer du malware via e-mails de phishing depuis octobre 2025.
- Volume en hausse de 686 % entre janvier 2025 et mars 2026 : les domaines *.app.n8n.cloud sont considérés comme de confiance par les gateways.
- La charge finale installe une version modifiée de l'outil RMM Datto, donnant aux attaquants un accès distant persistant et légitime en apparence.
Ce qui s'est passé
Les chercheurs de Cisco Talos ont publié une analyse détaillée d'une campagne de phishing exploitant la plateforme d'automatisation n8n. Les attaquants créent de simples comptes développeurs gratuits, ce qui provisionne automatiquement un sous-domaine sous *.app.n8n.cloud. Ces sous-domaines, rattachés à une marque SaaS reconnue, traversent la majorité des filtres mail d'entreprise sans être marqués comme suspects.
Le schéma d'attaque combine deux techniques. D'une part, les e-mails contiennent un lien vers un webhook n8n se faisant passer pour un document partagé ; le clic amène la victime sur un CAPTCHA, suivi du téléchargement d'un fichier nommé « DownloadedOneDriveDocument.exe ». D'autre part, les mêmes e-mails embarquent un pixel 1×1 qui, une fois affiché, appelle un autre webhook avec l'adresse e-mail et les métadonnées système de la cible — un fingerprinting silencieux permettant de ne cibler que les machines jugées intéressantes.
La charge finale n'est pas un malware classique : il s'agit d'une version modifiée de l'agent RMM de Datto, qui s'installe comme un service légitime et ouvre un canal de contrôle distant complet. PowerShell est ensuite utilisé pour escalader et exfiltrer. Le volume mesuré par Talos en mars 2026 représente une augmentation de 686 % par rapport à janvier 2025.
Pourquoi c'est important
L'usage détourné d'infrastructures SaaS légitimes (Cloudflare Workers, Vercel, pages.dev, n8n.cloud) pour héberger des pages de phishing ou des stagers n'est pas nouveau, mais n8n ajoute un ingrédient spécifique : l'automatisation sert également à orchestrer la logique d'attaque côté serveur, à réduire le temps de rotation des infrastructures et à collecter les données volées sans serveur attaquant dédié. C'est un exemple concret de « LOLSaaS » — Living off the Legitimate SaaS.
Pour les équipes SOC, cela signifie que bloquer simplement les domaines « suspects » n'est plus une stratégie viable : il faut inspecter le contenu livré, surveiller les invocations d'agents RMM non autorisés et activer les listes d'allow-listing pour les outils de télémaintenance dans les politiques EDR. Détecter un agent Datto installé en dehors du périmètre MSP est devenu un cas d'usage de détection à part entière.
Ce qu'il faut retenir
- La confiance implicite accordée aux sous-domaines SaaS (*.app.n8n.cloud, *.pages.dev, *.workers.dev) doit être réévaluée dans les gateways de messagerie.
- Détecter toute installation d'un agent RMM non prévu (Datto RMM, ConnectWise, AnyDesk, TeamViewer) via une règle d'inventaire applicatif simple.
- Bloquer l'exécution de binaires fraîchement téléchargés depuis un domaine SaaS via la règle ASR « Block executable content from email and webmail ».
Faut-il bloquer complètement le domaine n8n.cloud dans les proxies ?
Pas nécessairement. Beaucoup d'organisations utilisent n8n pour de l'automatisation interne légitime. Une approche plus équilibrée consiste à journaliser tous les accès sortants vers *.app.n8n.cloud, à les corréler avec l'ouverture d'un e-mail entrant et à bloquer les seules réponses qui déclenchent un téléchargement exécutable.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
W3LL : le FBI démantèle un kit phishing vendu 500 $
Le FBI Atlanta et la police indonésienne ont démantelé W3LLSTORE, un kit phishing Microsoft 365 vendu 500 $ ayant causé plus de 20 M$ de fraude.
Microsoft Defender : RedSun et UnDefend restent non patchés
Trois zero-days Defender exploités depuis le 10 avril : BlueHammer est patché, mais RedSun (SYSTEM) et UnDefend (blocage signatures) restent sans correctif.
170 procureurs ukrainiens piratés par des hackers liés à la Russie
Reuters révèle le 16 avril 2026 la compromission de 170 boîtes mail de procureurs et enquêteurs ukrainiens par des hackers liés à la Russie. 284 intrusions documentées sur 18 mois.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire