Cyna
Actualité cyber · 1 min de lecture

Phishing avancé : comment une attaque furtive détourne Microsoft SharePoint et Cloudflare

Campagne de phishing furtive détournant Microsoft SharePoint et Cloudflare pour piéger dirigeants et profils sensibles. Analyse du CERT Cyna pour les MSP.

Phishing via campagne Sharepoint

Une campagne de phishing avancée identifiée par notre équipe

Durant ce trimestre, notre équipe a identifié une campagne de phishing avancée et particulièrement furtive, exploitant des services cloud légitimes comme Microsoft SharePoint et des Cloudflare Workers.

Pourquoi cette attaque est-elle préoccupante ?

  • Exploitation de la confiance inter-entreprises : un premier compte compromis sert à piéger ses contacts professionnels.
  • Aucun signe classique de phishing : l’attaque repose sur des partages Microsoft authentiques afin de gagner la confiance des victimes. La pièce est hébergée sur le SharePoint d’une victime déjà compromise.
  • Ciblage précis : uniquement des noms de domaine professionnels, avec une priorité sur les dirigeants et profils à fort niveau d’accès.
  • Détournement de la sécurité Microsoft : le lien malveillant redirige vers un Cloudflare Worker qui charge dynamiquement une page d’authentification Microsoft hébergée sur un site WordPress compromis (technique de phishing transparent).

Schéma de la campagne de phishing détournant Microsoft SharePoint et Cloudflare Workers

Une attaque silencieuse, résiliente et difficilement détectable

L’infrastructure de cette attaque repose sur une chaîne complexe, masquant les serveurs de commande et de contrôle (C2) des attaquants.

Ce mode opératoire permet :

  • D’échapper aux EDR et filtres réseau basés sur la réputation.
  • De se propager discrètement entre entreprises via les partages SharePoint.
  • De complexifier la détection et les scans automatiques.
  • De capturer en temps réel les informations d’identification des victimes.

Une sophistication digne des groupes organisés

Les TTPs (techniques, tactiques et procédures) observés laissent penser à des groupes bien établis, potentiellement liés à des services de phishing-as-a-service (PhaaS).

Les techniques employées sont particulièrement avancées :

  • AiTM (Adversary-in-The-Middle)
  • HTML Smuggling
  • Hébergements bulletproof

Ces éléments indiquent un franchissement de cap dans la sophistication des campagnes de phishing ciblées.

Nos recommandations immédiates

  • Surveiller tout partage externe suspect de documents sur SharePoint ou OneDrive, même en provenance de contacts connus.
  • Bloquer l’accès aux domaines Cloudflare Workers non utilisés par votre organisation.
  • Former les utilisateurs à repérer les signaux faibles : pages Microsoft anormales, URL incohérentes, etc.
  • Réinitialiser les mots de passe, la double authentification (MFA), et les sessions actives sur tout compte suspect.

À lire aussi Actualité cyber.

Tous · Actualité cyber →
Actualité cyber
Cyna élu SentinelOne 2026 MSP Partner of the Year
2min · 10 juin 2026
Actualité cyber
Microsoft Defender a vu l'attaque. Qui y répond à 3h du matin chez votre client ?
2min · 19 mai 2026
Actualité cyber
Ce qui se passe dans les premières minutes d'une cyberattaque et pourquoi c'est là que tout se joue
2min · 09 avr. 2026
Prêt à signer

Le SOC que vos clients
vous demanderont demain.

Branchons votre première ligne en 30 minutes. Démo personnalisée, devis sous 24h, accompagnement humain de bout en bout.

Devenir partenaire Planifier une démo
Réponse sous 24hISO 27001 certifié100 % basé en France