Deepthix .
← Retour au blog
tech 11 mai 2026

Exploitation du plugin Obsidian pour déployer un cheval de Troie d'accès à distance

Une campagne de social engineering a détourné l'application de prise de notes Obsidian pour déployer un cheval de Troie d'accès à distance, ciblant les professionnels de la finance et des cryptomonnaies.

Article inspiré de la source originale
Obsidian plugin was abused to deploy a remote access trojan ↗ cyber.netsecops.io

Introduction

Dans un monde où les cyberattaques deviennent de plus en plus sophistiquées, la récente exploitation d'un plugin Obsidian pour déployer le cheval de Troie PHANTOMPULSE représente une avancée inquiétante. Cette campagne, qui cible principalement les professionnels de la finance et des cryptomonnaies, utilise des techniques de social engineering pour tromper les utilisateurs et prendre le contrôle de leurs systèmes.

Le Contexte de l'Attaque

Le malware PHANTOMPULSE a été introduit via une campagne désignée REF6598. Les attaquants, se faisant passer pour des capital-risqueurs, approchent leurs cibles sur des plateformes comme LinkedIn avant de déménager la conversation sur Telegram. Ils invitent ensuite les victimes à collaborer via un coffre-fort partagé hébergé sur le cloud dans l'application Obsidian.

La Méthode d'Infection

L'attaque repose sur la manipulation des cibles pour qu'elles activent un plugin communautaire dans Obsidian, une action qui semble anodine mais qui permet l'exécution de scripts malveillants. Ce processus est déclenché par l'installation de versions modifiées des plugins légitimes, notamment 'Shell Commands' et 'Hider'.

Analyse Technique

Accès Initial

Les attaquants utilisent des techniques de spear-phishing, incitant les utilisateurs à ouvrir un coffre-fort Obsidian compromis. Une fois ouvert, le plugin malveillant exécute un script PowerShell sur Windows ou un script équivalent sur macOS.

Déploiement du Malware

Sur Windows, un script PowerShell déploie un chargeur nommé PHANTOMPULL, qui installe ensuite le RAT PHANTOMPULSE. Sur macOS, un processus similaire est suivi, bien que les mécanismes sous-jacents diffèrent légèrement.

Résilience et Commande

PHANTOMPULSE utilise la blockchain Ethereum pour résoudre dynamiquement l'adresse de son serveur de commande et de contrôle (C2), le rendant résilient aux tentatives de neutralisation.

Implications pour les Professionnels

Cette attaque met en lumière le besoin croissant de vigilance parmi les professionnels de secteurs sensibles. L'utilisation de réseaux professionnels pour cibler des victimes potentielles souligne l'importance de la formation en cybersécurité et de la sensibilisation aux menaces de social engineering.

Conclusion

La sophistication de l'attaque via Obsidian démontre que même les outils de productivité peuvent être détournés à des fins malveillantes. Les entreprises doivent prendre des mesures proactives pour sécuriser leurs environnements numériques et éduquer leurs équipes sur les menaces potentielles.

Discutons de ton projet en 15 minutes.

Obsidian PHANTOMPULSE cybersecurity social engineering blockchain
Newsletter Deepthix · 100% IA · chaque lundi 8h

Un agent IA lit la tech à ta place.

Notre agent IA scanne ~200 sources par semaine et te livre les meilleurs articles le lundi 8h. Gratuit. 1 clic pour se désinscrire.

Voir la page newsletter →

Tu veux automatiser tes opérations ?

Discutons de ton projet en 15 minutes.

Réserver un call