← Tous les articles

consultant

FlowerStorm (KrakVM) déjoue les filtres e‑mail et l’enjeu NIS 2

Le kit de phishing FlowerStorm exécute du JavaScript obfusqué dans KrakVM pour intercepter MFA. Voici comment une passerelle e‑mail, DMARC/SPF/DKIM et un SOC 24/7 aident à tenir NIS 2 au Luxembourg.

Par Cyber Luxgap 28/05/2026

Message clé dirigeant : voici ce qui vient de se passer (FlowerStorm/KrakVM), voici comment on l’évite (passerelle e‑mail durcie + DMARC/SPF/DKIM, SOC outillé IOCs/TTPs, MFA résistante au phishing), et comment on notifie correctement l’ILR en 24 h/72 h si nécessaire.

Les faits

Le 14 mai 2026, Sublime Security a publié une analyse détaillée d’une campagne active opérée par le kit de phishing‑as‑a‑service « FlowerStorm ». Particularité : les pièces jointes HTML contiennent du code malveillant obfusqué et exécuté dans une machine virtuelle JavaScript (KrakVM), récemment publiée en open source. Ouverte dans le navigateur, la pièce jointe rend une fausse interface (souvent « voicemail » ou facture) qui collecte identifiants et codes MFA, avec relai « adversary‑in‑the‑middle » (AiTM) pour détourner les sessions.

Le rapport liste 153 IOCs, par exemple : 2067612207-1317754460.cos.eu-frankfurt.myqcloud[.]com, iphgo.office0utloot356comonauth[.]line, ableg.docufiled[.]com. Source primaire : Sublime Security (14 mai 2026). Couverture presse : CSO Online (14 mai 2026).

Pourquoi c’est sérieux pour l’UE et le Luxembourg en mai 2026 :

  • La charge est livrée par pièce jointe HTML (pas d’URL explicite) et chiffrée en bytecode, ce qui déjoue nombre d’outils de détection statique côté passerelle.
  • Le kit adapte l’interface au service ciblé (Microsoft 365, GoDaddy…), énumère les méthodes MFA de la victime (push, TOTP, SMS, appel vocal) et intercepte en temps réel les défis MFA.
  • Les infrastructures d’hébergement observées s’appuient sur des domaines « object storage » multi‑régions (Singapour, Francfort, Tokyo, Ashburn…), compliquant des listes de blocage simples. IOCs publics : voir le billet de Sublime (ci‑dessus).

Le cadre légal qui s’applique

NIS 2 au Luxembourg (loi du 5 mai 2026) : les entités essentielles et importantes doivent mettre en place des « mesures de gestion des risques de cybersécurité » (art. 21) incluant la protection contre le phishing et l’intégrité des systèmes d’information. Elles doivent notifier un incident significatif « sans retard indu et au plus tard dans les 24 heures » (alerte précoce), puis sous 72 h (notification), puis un rapport final sous un mois (art. 23). L’ILR détaille ce processus et l’usage de SERIMA pour la notification nationale. Références : ILR — NIS 2 et ILR — Notification d’incident 24 h/72 h/1 mois, SERIMA. Pour un point d’entrée opérationnel, voir NIS 2 au Luxembourg.

RGPD, article 32 (sécurité du traitement) : obligation générale de mesures techniques et organisationnelles appropriées (authentification robuste, journalisation, contrôle d’accès) pour prévenir l’accès non autorisé aux données personnelles compromises par l’hameçonnage. Référence : EUR‑Lex — RGPD (art. 32).

Concrètement, les régulateurs attendent :

  • Des contrôles préventifs (filtrage e‑mail avancé, authentification résistante au phishing, DMARC/SPF/DKIM).
  • Des capacités de détection et d’alerte en temps utile pour respecter la fenêtre 24 h/72 h (NIS 2).
  • Des journaux et éléments de preuve pour l’enquête et la notification (NIS 2 art. 23 ; RGPD art. 32).

La solution technique à déployer

Objectif : empêcher l’entrée (HTML obfusqué, QR/« quishing », liens AiTM), détecter tôt, et disposer d’artefacts exploitables pour SERIMA et, si besoin, pour une notification RGPD.

1) Passerelle e‑mail + authentification de domaine (DMARC/SPF/DKIM)

  • Rôle : filtrage des pièces jointes HTML, détection de JavaScript obfusqué (entropie élevée, alphabets Base64 non standards), désarmement des URL, sandboxing contrôlé avec rendu dynamique.
  • DMARC/SPF/DKIM : réduisent l’usurpation de domaine, utile contre les leurres « voicemail/invoice » de FlowerStorm qui imitent la marque. Exigent surveillance des rapports DMARC agrégés pour repérer des campagnes d’usurpation.
  • Standards : ISO 27001:2022 A.8.23, A.5.17 ; CIS Control 9 ; NIST CSF 2.0 DE.CM, PR.PS.

2) Détection comportementale et Threat Intel (IOCs + TTPs)

  • Rôle : ingestion d’IOCs confirmés (ex. myqcloud[.]com sous‑domaines numérotés listés par Sublime) et détection de TTPs : pièces jointes .html avec encodage VM/bytecode, variables « __krak_throw », alphabets Base64 personnalisés, artefacts KrakVM, parcours MFA AiTM.
  • Bénéfice légal : accélère l’évaluation « incident significatif » et la qualification de l’alerte 24 h/72 h via SERIMA (NIS 2 art. 23). Réfs : Sublime, IOCs ; CSO Online.

3) Authentification résistante au phishing (FIDO2/WebAuthn) pour comptes sensibles

  • Même si l’angle ici est e‑mail, FlowerStorm intercepte l’OTP/TOTP. L’adoption de facteurs « origin‑bound » (FIDO2, passkeys) coupe l’effet AiTM. Alignement RGPD art. 32 et NIS 2 art. 21.

4) Journalisation et forensic SIEM

  • Loguer ouverture de PJ HTML, clics vers domaines suspects, tentatives SSO anormales, MFA échoués/suspects ; conserver artefacts pour preuve et post‑mortem.

Comment Luxgap déploie cela

Notre SOC managé 24/7 pour la détection d’incident intègre vos flux passerelle e‑mail, EDR/XDR et reverse‑proxy. Nous corrélons les signaux « HTML/JS obfusqué + alphabets Base64 non standards + e‑mail ‘voicemail’ » avec les IOCs publics (ex. sous‑domaines myqcloud[.]com chiffrés listés par Sublime). En cas d’alerte, nous ouvrons un ticket, isolons la boîte compromise, invalidons sessions/tokens, et préparons la trame SERIMA (étapes 24 h/72 h).

Notre dark web monitoring surveille 12+ sources (forums, paste, canaux Telegram) pour détecter réutilisation de domaines/infra FlowerStorm et relier ces artefacts à vos domaines (look‑alike) pour un blocage préventif.

Notre gouvernance ISO 27001 cadre la politique e‑mail (blocage PJ .html, désactivation d’ancres « data: », QR/« quishing »), DMARC en « quarantine/reject » avec monitoring, procédure NIS 2 de notification (qui fait quoi à H+4/H+24/H+72), et preuves d’audit.

Conduite de projet en 3 semaines

  • T0–T7 : durcissement passerelle (politiques HTML/JS, sandbox, réécriture URL), déploiement DMARC « quarantine », playbooks SOC « FlowerStorm/KrakVM » + IOCs.
  • T8–T14 : tests de détection (campagnes inertes), bascule DMARC en « reject », intégration SERIMA (modèle de notification).
  • T15–T21 : revue MFA comptes sensibles (FIDO2 sur admins/comptes à privilèges), exercices de réponse 90 min avec CISO/DPO (notification ILR, articulation avec violation RGPD). Pour renforcer le facteur humain, programmez de la sensibilisation et du phishing simulé.

Cas concret au Luxembourg ou en UE

Une entreprise de services informatiques « importante » au sens NIS 2 (125 employés, clientèle B2B UE) a subi plusieurs vagues d’e‑mails « New Voice Msg » avec PJ .html. En 6 semaines, nous avons :

  • Bloqué systématiquement les PJ .html contenant alphabets Base64 non standards et balises « write » suspectes ;
  • Passé DMARC de « none » à « reject » avec ajustement DKIM sur 4 domaines d’envoi tiers ;
  • Déployé IOC‑blocking sur passerelle/proxy (ex. motifs *.cos.*.myqcloud.com avec numérotation anormale) et un playbook SOC pour purge des boîtes et réinitialisation MFA ;
  • Documenté une procédure SERIMA : alerte à H+12 (précoce), notification à H+60 (72 h max), collecte d’artefacts (entêtes e‑mail, hash PJ, journaux d’accès). Résultat : une tentative aboutie repérée à J+0, contenue à H+3, aucune exfiltration prouvée, pas de notification RGPD nécessaire ; conformité NIS 2 démontrable.

Premiers pas concrets

  • Bloquez les pièces jointes .html côté passerelle, sauf liste d’exceptions contrôlée ; activez l’analyse dynamique avec rendu pour JavaScript obfusqué (entropie, VM bytecode, fonctions personnalisées type « __krak_throw »).
  • Mettez DMARC en « quarantine » sous 7 jours et « reject » sous 30 jours ; surveillez les rapports agrégés pour repérer l’usurpation de domaine.
  • Alimentez vos règles avec les IOCs FlowerStorm publiés (échantillon ci‑dessus) et automatisez leur rafraîchissement ; créez des règles de détection TTP (PJ HTML + Base64 alphabet non standard + thème « voicemail/invoice »).
  • Durcissez vos comptes à privilèges en FIDO2/WebAuthn ; interdisez les OTP ré‑utilisables sur ces comptes.
  • Rédigez la fiche « NIS 2 art. 23 » : qui déclenche l’alerte ILR sous 24 h, qui complète la notification 72 h, quels journaux/artefacts on joint, et comment on coordonne avec une éventuelle notification RGPD.

Besoin d’un accompagnement opérationnel ? Échangez avec nos équipes via la page de contact Luxgap.

Sources officielles

cybersecurite solution phishing nis-2 email-security soc luxembourg
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →