Une récente campagne attribuée au groupe nord-coréen connu sous le nom d'APT37 (également appelé ScarCruft) remplace sur la table comment les attaquants combinent l'ingénierie sociale classique avec des techniques de plus en plus sophistiquées pour introduire des logiciels malveillants dans les réseaux et les appareils. Selon une analyse technique publiée par la firme sud-coréenne Genians, les opérateurs ont utilisé des comptes Facebook pour créer une relation de confiance avec leurs victimes et transformer cette interaction en la voie de livraison d'un cheval de Troie à distance connu sous le nom de RokRAT. Vous pouvez consulter l'entreprise derrière l'analyse sur son site officiel: Centre de sécurité des Geniens.
Le mécanisme d'entrée n'était pas une explosion directe ou un mass mail, mais plutôt plus social et dirigé : les agresseurs créaient de faux profils qui prétendaient être la proximité et des problèmes d'intérêt pour les victimes, puis transféraient la conversation vers des applications de messagerie privées où il était plus facile d'échanger des fichiers. La tactique de construire une histoire crédible - ce que l'on appelle le prétexte dans la cybersécurité - leur a permis de convaincre les objectifs d'installer un visionneur PDF supposé nécessaire pour ouvrir des documents militaires chiffrés. En fait, ce "spectateur" était une version manipulée de logiciel légitime.
La pièce qui a ouvert la porte technique à l'engagement était un installateur cassé d'un vrai programme pour lire et éditer des PDF. Dans ce cas, c'était une variante falsifiée de Wondershare PDFemcent, un paquet commercial connu que la victime percevrait comme inoffensif. L'installateur modifié a exécuté le code malveillant intégré au début, qui a fourni aux attaquants un premier accès persistant à la machine affectée. Si vous voulez voir le logiciel légitime mentionné, il est disponible sur le site officiel: Wondershare PDFelement.
Une curiosité technique de la campagne est l'utilisation délibérée d'infrastructures légitimes engagées dans la gestion du canal de commandement et de contrôle (C2). Selon l'enquête, les opérateurs ont profité d'un site web réel associé à un service d'information immobilière pour émettre des instructions et télécharger des charges utiles supplémentaires. En outre, la deuxième étape de la chaîne d'infection n'est pas arrivée comme un exécutable conventionnel, mais a été camouflée dans un fichier JPG contenant la charge finale de RokRAT. Cette stratégie profite de la confiance dans les ressources légitimes et du camouflage des extensions pour rendre la détection automatique difficile.
RokRAT n'est pas nouveau dans les arsenaux des acteurs nord-coréens et a déjà été observé dans les opérations précédentes. Des chercheurs externes ont documenté comment ce type de malware réutilise les capacités centrales, mais modifie continuellement ses méthodes de livraison et d'évasion. Dans les campagnes précédentes, il a été décrit que les logiciels malveillants utilise des services en nuage légitimes comme canaux pour cacher son trafic de contrôle, ce qui aide à éviter les contrôles traditionnels. Un exemple détaillé d'utilisation des services cloud comme vecteur C2 a été documenté par Zscaler ThreatLabz dans une recherche publiée en 2026, qui a analysé des techniques similaires et mis en évidence l'utilisation de plates-formes légitimes pour camoufler des communications malveillantes; vous pouvez consulter le fichier de recherche Zscaler ici: Zscaler MenaceLabz.
Du point de vue opérationnel, les attaquants ont suivi un flux délibéré : identification et criblage des cibles à travers des profils à fausse géolocalisation, renforcement de la confiance par la messagerie, livraison d'un fichier compressé (ZIP) avec instructions et un installateur portatif, exécution du code embarqué qui contacte le serveur C2 et enfin téléchargement de la charge utile finale masquée comme une image. La persistance et les capacités du cheval de Troie comprennent la capture d'écran, l'exécution de commande à distance (par exemple en utilisant cmd.exe), la collecte d'informations système et les techniques pour essayer d'échapper à certains produits de sécurité qui peuvent être dans le paramètre. Pour mettre en contexte la popularité de certaines solutions et leur présence sur le marché, Qihoo 360 propose un produit connu sous le nom de 360 Total Security: Total sécurité, bien que les attaquants essaient toujours des moyens de moquer des défenses spécifiques.
Cet incident illustre encore plusieurs leçons importantes. Tout d'abord, l'utilisation de logiciels légitimes comme leurre force les organisations et les utilisateurs à se méfier même des installateurs qui semblent provenir de marques connues. Deuxièmement, l'abus d'infrastructures légitimes (sites Web engagés ou services cloud) complique la détection, car le trafic réseau peut sembler normal. Troisièmement, les agresseurs mettent tout particulièrement l'accent sur la phase humaine de l'attaque : sans la tromperie initiale, il n'y aurait pas d'exécution du code final.
Pour minimiser les risques, il est recommandé de déployer des contrôles techniques et éducatifs : toujours vérifier la source des fichiers et des liens, préférer les canaux de distribution officiels pour le logiciel, garder les systèmes à jour et limiter l'exécution automatique des installateurs reçus par messagerie. Dans les environnements d'entreprise, la segmentation du réseau, l'inspection du trafic sortant et le blocage des fichiers avec des extensions suspectes peuvent réduire la portée d'une infection. Il est également important de détecter et de surveiller les comportements anormaux, tels que les processus qui prennent des captures d'écran ou invocation inhabituelle de cmd.exe, et d'avoir des procédures claires pour isoler l'équipement engagé et effectuer des analyses médico-légales.
Si vous souhaitez approfondir le phénomène des agresseurs qui se présentent comme des acteurs crédibles et les outils qu'ils utilisent, les pages des fournisseurs et des centres de recherche publient des analyses et des guides utiles. Outre les liens déjà mentionnés, les plateformes de stockage et la collaboration en nuage Zoho WorkDrive Parfois, ils sont exploités par des acteurs malveillants, de sorte que leur utilisation dans un contexte C2 mérite l'attention des équipes de sécurité.
Bref, ce qui se distingue de cette opération attribuée à APT37 n'est pas tant la nouveauté des logiciels malveillants, mais le mélange raffiné de tromperie humaine, manipulation légitime de logiciels et abus d'infrastructure fiable. Cette combinaison rend les défenses réactives insuffisantes: la meilleure réponse est une politique qu'une technologie précise avec une formation continue et des procédures qui rend difficile le premier clic qui ouvre la porte à l'attaquant.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...