Microsoft : cryptomineur via SEO/IA — EDR/XDR et NIS 2 en action

Excerpt. Le 27 mai 2026, Microsoft a exposé une campagne active de cryptominage diffusée par empoisonnement SEO et recommandations d’IA, avec des IoC publics (ex. gleeze[.]com). Voici comment une pile EDR/XDR permet de détecter, contenir et reporter conformément à NIS 2 et, pour les entités DORA, à l’article 10.

Les faits

Le 27 mai 2026, Microsoft a alerté sur une campagne de cryptojacking visant des postes à GPU élevés, propagée par des pages de téléchargement piégées et, dans certains cas, par des réponses d’assistants IA renvoyant vers des domaines contrôlés par l’attaquant. L’analyse, reprise par BleepingComputer, décrit un enchaînement en plusieurs étapes: archive ZIP contenant à la fois l’exécutable légitime (p. ex. CrystalDiskInfo/HWMonitor) et une DLL malveillante, installation de ScreenConnect pour l’accès persistant, dépôt d’un binaire SimpleRunPE.exe renommé en RuntimeHost.exe, hollowing dans des binaires .NET signés Microsoft (InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, AppLaunch.exe, AddInProcess.exe, aspnet_compiler.exe), ajout d’exclusions Defender via PowerShell, puis téléchargement d’un module de minage (gminer, lolMiner ou SRBMiner‑MULTI) pour maximiser le rendement GPU par machine compromise. Un IoC clé signalé est le sous-domaine hébergé sur gleeze[.]com servant des archives ZIP piégées.

Sources: BleepingComputer, 27/05/2026 résumant l’analyse Microsoft, avec IoC gleeze[.]com et TTP détaillés. Voir aussi l’article Microsoft référencé par BleepingComputer. (source)

IoC publics (extraits utiles pour vos filtres)

• Domaines: gleeze[.]com (sous-domaines de téléchargement piégés, selon Microsoft via BleepingComputer)
• Fichiers/Artefacts: SimpleRunPE.exe (copié en RuntimeHost.exe), vcredist_x64.dll installé via msiexec.exe, exécutable déguisé en vlc.exe
• Outils légitimes détournés: InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, AppLaunch.exe, AddInProcess.exe, aspnet_compiler.exe
• Miners: gminer, lolMiner, SRBMiner‑MULTI

Réf.: BleepingComputer.

Le cadre légal qui s’applique

• NIS 2, article 21 — mesures de gestion des risques cybersécurité, incluant détection des incidents, journalisation et monitoring continus, et politiques de contrôle d’accès. Les entités couvertes au Luxembourg relèvent de la loi du 5 mai 2026 (ILR). L’ILR centralise l’information NIS 2 Luxembourg et l’usage du portail SERIMA pour les notifications. Pour un aperçu opérationnel local, consultez NIS 2 au Luxembourg. Réf.: ILR — NISS/NIS 2; texte NIS 2 art. 21: NIS 2 — Article 21.
• DORA (UE 2022/2554) — pour les entités financières:
  • Article 9 (Protection & prévention): durcissement des contrôles techniques, mécanismes d’isolation automatisés.
  • Article 10 (Détection): mécanismes multicouches, seuils d’alerte et déclenchement des processus de réponse. Texte officiel: EUR‑Lex DORA.
  • CSSF 25/893 — modalités luxembourgeoises de reporting des incidents TIC majeurs et des cybermenaces significatives via eDesk. Réf.: CSSF 25/893 et page CSSF DORA — ICT & cyber risk.

La solution technique à déployer: EDR/XDR pour détecter et prouver

Objectif. Détecter rapidement les TTP ci‑dessus, contenir l’exécution et documenter des preuves auditées (journaux, télémétrie) exigées par NIS 2/DORA.

Comment ça marche. Une pile EDR/XDR collecte la télémétrie endpoint/réseau/identité et déclenche des règles comportementales:

• Process hollowing d’un binaire signé Microsoft par SimpleRunPE.exe → détection sur parent/child anomalies, injection mémoire, et exécution inhabituelle d’InstallUtil.exe/RegAsm.exe.
• Living-off-the-land avec msiexec.exe installant ScreenConnect → corrélation EDR (process) + NDR (sortant vers domaines/ASN du vendeur) + blocage d’installation non approuvée.
• Persistence anormale (multiples emplacements d’autostart) → règles sur création/clés Run, planificateur de tâches, services.
• Altération de Defender (ajout d’exclusions PowerShell) → alerte sur événements Set-MpPreference.
• Minage GPU (gminer/lolMiner/SRBMiner) → détection par empreintes process + pics GPU anormaux hors fenêtres de calcul autorisées.
• IOC matching → blocage/résolution DNS et HTTP(S) vers gleeze[.]com et domaines associés; sandbox sur archives ZIP suspectes.

Référentiels. ISO/IEC 27001 A.8.16 (surveillance), A.8.23 (protection contre le code malveillant); NIST CSF 2.0 ID/PR/DE/RS; CIS Controls 8: 8, 10, 13.

Comment Luxgap déploie cela

• Notre SOC managed 24/7. On intègre vos EDR/XDR existants (ou on en déploie un), on ingère les flux, on push des règles dédiées à cette campagne (hollowing dans binaires .NET signés, install de ScreenConnect, altération Defender), on enrichit avec les IoC publics et nos flux TI, puis on opère la triade détection–enrichissement–contenu (Mitre T1055, T1218, T1562). Escalades en < 15 min avec playbooks de confinement. Découvrez notre capacité SOC managé.
• Notre gouvernance ISO 27001. Nos Lead Implementers conçoivent la matrice “contrôles → preuves” pour NIS 2 art. 21 et DORA art. 9/10: conservation des journaux, critères d’alerte, scénarios de test, et mapping aux politiques internes.
• Notre threat intelligence/dark web monitoring. Nous suivons campagnes & IoC (domaine, hash, IP) sur 12+ sources ouvertes/fermées et publions des mises à jour de détection clés en main dans vos outils.

Cas concret au Luxembourg ou en UE

Une entreprise de services financiers basée au Luxembourg (soumise DORA) a subi des alertes d’exécution anormale d’InstallUtil.exe sur 3 postes R&D. Notre SOC a corrélé l’usage de msiexec.exe installant ScreenConnect, et des connexions sortantes vers un sous‑domaine de gleeze[.]com. En 30 minutes : isolation réseau des hôtes, suppression des persistences, blocage DNS du domaine, et désinstallation du client RMM. Dans les 24 h : classification et pré‑rapport eDesk (DORA/CSSF 25/893) préparés avec la télémétrie EDR et la timeline consolidée, puis rapport final enrichi des indicateurs et mesures correctives.

Premiers pas concrets

1. Bloquez dès maintenant les IoC. Ajoutez gleeze[.]com et domaines associés en blocage DNS/proxy; créez des règles EDR pour détecter InstallUtil.exe/RegAsm.exe/RegSvcs.exe/MSBuild.exe lancés par des binaires non signés ou inconnus.
2. Contrôlez les outils RMM. Inventoriez et mettez en liste blanche vos RMM autorisés; alertez sur toute installation ScreenConnect non approuvée via msiexec.exe.
3. Surveillez Defender/AV. Alertez sur toute modification d’exclusions (Set-MpPreference) et interdisez‑les aux non‑admins.
4. Renforcez les téléchargements. Filtrez par réputation les archives ZIP depuis moteurs de recherche; mettez un portail interne validé pour utilitaires (hash/éditeur vérifiés).
5. Cadrez la conformité. Mettez à jour votre politique de détection (DORA art. 10/NIS 2 art. 21), définissez les seuils d’alerte et préparez les gabarits de notification (SERIMA ILR / eDesk CSSF). Les acteurs luxembourgeois peuvent s’appuyer sur notre page dédiée DORA Luxembourg pour les points de contact et jalons clés.

Sources officielles

• Faits & IoC: BleepingComputer — GPU mining malware spreads via SEO poisoning, AI chatbots (27/05/2026).
• NIS 2 — cadre légal: ILR (Luxembourg) — NISS/NIS 2 et SERIMA; Texte NIS 2 — Article 21.
• DORA — cadre légal: EUR‑Lex — Règlement (UE) 2022/2554 (DORA); CSSF — Circulaire 25/893; CSSF — ICT & cyber risk (DORA).

Contactez-nous pour activer des règles EDR/XDR dédiées et cadrer vos obligations NIS 2/DORA.