Repéré dans un espace pirate russophone, ce « AV/EDR Killer » est proposé comme une solution clé en main pour désactiver ou supprimer des protections endpoint largement déployées. Et le discours commercial est limpide : efficacité, discrétion… et pilote signé Microsoft.
Quand la sécurité endpoint devient une option… payante
Le monde de la cybercriminalité adore les concepts simples. Après les ransomware-as-a-service, les initial access brokers et les kits de phishing prêts à l’emploi, voici une nouvelle offre qui s’attaque directement au cœur des défenses d’entreprise : un outil présenté comme capable de neutraliser antivirus et EDR majeurs, vendu comme un produit presque banal.
Oui, rien que ça.
🛍️ Un malware présenté comme un produit « premium »
L’annonce ne cherche pas à faire dans la dentelle. Elle adopte un ton quasi industriel, comme une fiche produit destinée à un service achats version cybercrime. L’outil est annoncé comme compatible avec plusieurs solutions de sécurité d’entreprise parmi les plus répandues :
- SentinelOne
- Microsoft Defender for Endpoint
- Sophos
- ESET
- Trend Micro
- Avast
- Avira
Ce choix n’est évidemment pas innocent. Il cible des solutions très présentes dans les SOC, souvent déployées à grande échelle, et supposées empêcher précisément ce type d’attaque. Le message est clair : ce qui est censé vous protéger peut être neutralisé.
🧩 Le cœur de la promesse : un pilote « signé Microsoft »
L’argument central du vendeur repose sur un élément clé : la présence d’un driver signé Microsoft, daté de 2025. Pour un attaquant, c’est le Graal.
Un pilote signé :
- bénéficie d’un niveau de confiance élevé côté système,
- peut interagir à bas niveau avec l’OS,
- complique fortement la détection comportementale,
- et rend l’analyse forensique plus délicate.
En clair, si la promesse est tenue, l’outil ne se contente pas d’éteindre des alertes : il coupe la lumière à la source. Le vendeur affirme fournir le code, un builder pour générer des variantes, et des preuves de fonctionnement contre les solutions citées. Sans validation indépendante, évidemment… mais suffisamment crédible pour séduire une clientèle malveillante en quête de fiabilité.
đź’¸ Un prix qui en dit long sur la cible
L’outil est vendu 3 000 dollars (environ 2 700 €), avec prise de contact via TOX, une messagerie chiffrée largement utilisée dans les cercles clandestins.
Ce tarif n’est pas destiné au script kiddie du dimanche. Il vise :
- des opérateurs de ransomware,
- des groupes organisés,
- ou des acteurs cherchant Ă industrialiser leurs intrusions.
Autrement dit, ceux pour qui désactiver l’EDR n’est pas un bonus, mais une étape clé du plan d’attaque.
🔥 Pourquoi ce type d’outil est réellement critique
Dans une attaque moderne, tant que l’EDR est actif, l’attaquant avance à pas feutrés. Chaque action est un risque : un appel API suspect, une élévation de privilège mal maîtrisée, une persistance trop bruyante.
Mais le jour où l’endpoint est aveuglé, tout change :
- les mouvements latéraux s’accélèrent,
- les outils offensifs se multiplient,
- la persistance devient durable,
- et l’attaque passe de « discrète » à  industrielle.
C’est pour cette raison que les « AV/EDR killers » sont régulièrement associés aux écosystèmes ransomware, même s’ils ne sont pas toujours développés par les groupes eux-mêmes.
🧠Ce que cet épisode nous rappelle (encore)
Aussi sophistiqué soit-il, un EDR n’est pas une armure magique. Ce type d’annonce rappelle plusieurs réalités parfois inconfortables :
- la confiance accordée aux composants signés peut être exploitée,
- la défense endpoint seule ne suffit pas,
- la supervision réseau, la journalisation centralisée et les contrôles d’intégrité restent essentiels,
- et la détection repose autant sur l’architecture que sur l’outil.
Autrement dit : acheter un EDR ne dispense pas de penser sécurité.
🛡️ Bienveillance obligatoire, panique inutile
Faut-il paniquer ? Non.
Faut-il ignorer ce type d’information ? Encore moins.
Ce genre d’offre montre surtout que la sécurité est devenue un marché, y compris côté attaquant. À nous, défenseurs, de continuer à élever le niveau, diversifier les couches de protection et surtout… ne jamais considérer qu’un outil, aussi cher soit-il, fait le travail à lui seul.
La cybersécurité n’est pas un produit.
C’est un système, une discipline, et parfois un sport de combat.
Et visiblement, certains ont décidé de vendre les gants. 🥊
