{
	"id": "a5fbc85c-92bc-48aa-891b-1c2152c38211",
	"created_at": "2026-04-06T01:30:55.748593Z",
	"updated_at": "2026-04-10T13:12:34.391762Z",
	"deleted_at": null,
	"sha1_hash": "75c3dd9e81d636182eb5371be43730a801dfb137",
	"title": "Recrudescence d'activité Emotet en France",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 54490,
	"plain_text": "Recrudescence d'activité Emotet en France\r\nArchived: 2026-04-06 00:11:37 UTC\r\n[mise à jour du 22 septembre 2020]\r\nL'ensemble des échantillons obtenus par l'ANSSI jusqu'à maintenant a permis de comparer ces derniers avec les\r\nlistes de marqueurs en sources ouvertes référencés dans la section \"Moyens de détection relatifs à Emotet\".\r\nLa fiabilité de ces flux a été assurée et nous vous encourageons à les intégrer dans vos systèmes de détection.\r\nContrairement aux recommandations indiquées dans la version précédente de cette alerte, il n'est donc plus\r\nnécessaire de nous faire parvenir vos échantillons.\r\n[version initiale]\r\nDepuis quelques jours, l’ANSSI constate un ciblage d’entreprises et administrations françaises par le code\r\nmalveillant Emotet. Il convient d’y apporter une attention particulière car Emotet est désormais utilisé\r\npour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes.\r\nCaractéristiques du cheval de Troie Emotet\r\nObservé pour la première fois mi-2014 en tant que cheval de Troie bancaire, Emotet a évolué pour devenir un\r\ncheval de Troie modulaire. Ses différents modules actuels lui permettent :\r\nde récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs (Internet\r\nExplorer, Mozilla Firefox, Google Chrome, Safari, Opera) et boîtes courriel (Microsoft Outlook, Windows\r\nMail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail) ;\r\nde dérober la liste de contacts, le contenu et les pièces jointes attachées à des courriels ;\r\nde se propager au sein du réseau infecté en tirant parti de vulnérabilités SMB ainsi que des mots de passe\r\nrécupérés.\r\nLe code malveillant est distribué par le botnet éponyme (lui-même composé de trois groupements de serveurs\r\ndifférents Epoch 1, Epoch 2, Epoch 3, opérés par le groupe cybercriminel TA542) au travers de campagnes\r\nmassives de courriels d’hameçonnage, souvent parmi les plus volumineuses répertoriées. Ces courriels\r\nd’hameçonnage contiennent généralement des pièces jointes Word ou PDF malveillantes, et plus rarement des\r\nURL pointant vers des sites compromis ou vers des documents Word contenant des macros.\r\nCes campagnes d’attaques touchent tous types de secteurs d’activités à travers le monde.\r\nEmotet : loader de codes malveillants tiers\r\nDepuis 2017, Emotet n’est plus utilisé en tant que cheval de Troie bancaire mais distribue, fréquemment au sein\r\ndes systèmes d’information qu’il infecte, des codes malveillants opérés par des groupes d’attaquants qui sont\r\nhttps://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/\r\nPage 1 of 3\n\nclients de TA542. Par exemple, les chevaux de Troie bancaires Qbot, Trickbot, IcedID, GootKit, BokBot, Dridex\r\net DoppelDridex peuvent être distribués en tant que seconde charge utile, avec une prédominance en 2020 de Qbot\r\net TrickBot.\r\nEn outre, ces derniers peuvent télécharger des rançongiciels au sein du système d’information compromis. C’est\r\npar exemple le cas de TrickBot auquel il arrive de télécharger les rançongiciels Ryuk ou Conti.\r\nAinsi, la détection et le traitement au plus tôt d’un évènement de sécurité lié à Emotet peut prévenir de\r\nnombreux types d’attaques, dont celles par rançongiciel avant le chiffrement.\r\nRecrudescence des campagnes d’attaque durant le second semestre 2020\r\nAprès une absence de cinq mois, Emotet a refait surface en juillet 2020. Depuis, nombre de ses campagnes\r\nd’hameçonnage exploitent une technique de détournement des fils de discussion des courriels (email thread\r\nhijacking technique).\r\nUne fois la boîte courriel d’un employé de l’entité victime (ou la boîte courriel générique de l’entité elle-même)\r\ncompromise, le code malveillant Emotet exfiltre le contenu de certains de ses courriels. Sur la base de ces\r\nderniers, les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de\r\ncourriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du\r\ncourriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique\r\nd’une discussion, voire même des pièces jointes légitimes.\r\nCes courriels, d’apparence légitime, sont envoyés à des contacts de la victime, et plus particulièrement aux tierces\r\nparties de l’entité (clients et prestataires notamment) ayant participé au fil de discussion originel, afin d’accroître\r\nleur crédibilité auprès des destinataires.\r\nOutre cette technique, TA542 construit également des courriels d’hameçonnage sur la base d’informations\r\nrécupérées lors de la compromission des boîtes courriel, qu’il envoie aux listes de contact exfiltrées, ou usurpent\r\nplus simplement l’image d’entités, victimes préalables d’Emotet ou non (sociétés de transport, de\r\ntélécommunication ou encore institutions financières).\r\nDans tous les cas, il apparaît que les boîtes courriel compromises ne sont pas utilisées pour envoyer des courriels\r\nd’hameçonnage mais que ces derniers sont envoyés depuis l’infrastructure des attaquants sur la base d’adresses\r\ncourriel expéditrices souvent typosquattées.\r\nLa France représente une cible des campagnes récentes d’Emotet.\r\nSOLUTION\r\nMoyens de détection relatifs à Emotet\r\nPlusieurs flux existent contenant des indicateurs de compromission actualisés relatifs à Emotet, ce code faisant\r\nl’objet de nombreuses investigations dans les secteurs public et privé. Parmi ces flux,\r\nhttps://paste.cryptolaemus.com/ et https://feodotracker.abuse.ch/browse/ représentent des sources fiables qu’il est\r\nrecommandé d’intégrer dans ses moyens de détection et de blocage.\r\nhttps://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/\r\nPage 2 of 3\n\nA noter aussi :\r\nLes chercheurs de Cryptolaemus fournissent notamment des expressions régulières permettant de détecter\r\ndes liens utilisés dans les courriels malveillants. Ils sont disponibles dans les bulletins quotidiens de\r\nl’équipe de chercheurs, dans le paragraphe « Link Regex Report ».\r\nDes règles de détection YARA d’Emotet ont été produites par ReversingLabs :\r\nhttps://github.com/reversinglabs/reversinglabs-yara-rules/blob/develop/yara/trojan/Win32.Trojan.Emotet.yara.\r\nEmocheck, un outil créé par le CERT japonais, permet de détecter la présence du trojan Emotet sur une\r\nmachine Windows. Emotet utilisant un dictionnaire prédéfini pour le nom de ses processus, ce programme\r\nvérifie si un programme en cours d’exécution correspond à ce dictionnaire précis. L’outil est disponible en\r\nsource ouverte : https://github.com/JPCERTCC/EmoCheck.\r\nRecommandations\r\nSensibiliser les utilisateurs à ne pas activer les macros dans les pièces jointes et à être particulièrement attentifs\r\naux courriels qu’ils reçoivent et réduire l’exécution des macros.\r\nLimiter les accès Internet pour l’ensemble des agents à une liste blanche contrôlée.\r\nDéconnecter les machines compromises du réseau sans en supprimer les données.\r\nDe manière générale, une suppression / un nettoyage par l’antivirus n’est pas une garantie suffisante. Seule la\r\nréinstallation de la machine permet d’assurer l’effacement de l’implant.\r\nSource: https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/\r\nhttps://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "FR",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/"
	],
	"report_names": [
		"CERTFR-2020-ALE-019"
	],
	"threat_actors": [
		{
			"id": "e8e18067-f64b-4e54-9493-6d450b7d40df",
			"created_at": "2022-10-25T16:07:24.515213Z",
			"updated_at": "2026-04-10T02:00:05.018868Z",
			"deleted_at": null,
			"main_name": "Mummy Spider",
			"aliases": [
				"ATK 104",
				"Gold Crestwood",
				"Mummy Spider",
				"TA542"
			],
			"source_name": "ETDA:Mummy Spider",
			"tools": [
				"Emotet",
				"Geodo",
				"Heodo"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "506404b2-82fb-4b7e-b40d-57c2e9b59f40",
			"created_at": "2023-01-06T13:46:38.870883Z",
			"updated_at": "2026-04-10T02:00:03.128317Z",
			"deleted_at": null,
			"main_name": "MUMMY SPIDER",
			"aliases": [
				"TA542",
				"GOLD CRESTWOOD"
			],
			"source_name": "MISPGALAXY:MUMMY SPIDER",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "2ac83159-1d9d-4db4-a176-97be6b7b07c9",
			"created_at": "2024-06-19T02:03:08.024653Z",
			"updated_at": "2026-04-10T02:00:03.672512Z",
			"deleted_at": null,
			"main_name": "GOLD CRESTWOOD",
			"aliases": [
				"Mummy Spider ",
				"TA542 "
			],
			"source_name": "Secureworks:GOLD CRESTWOOD",
			"tools": [
				"Emotet"
			],
			"source_id": "Secureworks",
			"reports": null
		}
	],
	"ts_created_at": 1775439055,
	"ts_updated_at": 1775826754,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/75c3dd9e81d636182eb5371be43730a801dfb137.pdf",
		"text": "https://archive.orkl.eu/75c3dd9e81d636182eb5371be43730a801dfb137.txt",
		"img": "https://archive.orkl.eu/75c3dd9e81d636182eb5371be43730a801dfb137.jpg"
	}
}