Ces derniers mois, un mouvement inquiétant a été observé sur la carte du cyberespionnage : un acteur connu sous le nom de Une demande a pris une nouvelle orientation et dirige maintenant des opérations contre les fournisseurs de télécommunications au Kirghizistan et au Tadjikistan, après une phase antérieure au cours de laquelle ses activités se sont concentrées sur des entités saoudiennes. Le rapport de la firme russe Positive Technologies fournit une radiographie détaillée de ces intrusions et décrit l'utilisation de deux portes arrière écrites en C + + qui sont nommées d'après LuciDoor et MarsSnake, en plus des chargeurs qui les livrent aux systèmes compromis ( Rapport positif sur les technologies).
La chaîne d'attaque utilisée par le groupe est classique mais efficace: les attaquants envoient des courriels d'hameçonnage qui incluent un document Microsoft Office comme un leurre. Lors de l'ouverture, la victime reçoit la demande habituelle pour activer les macros - ce bouton " Activer le contenu"que tant de problèmes causent - et, une fois activé, la macro dépose un petit chargeur en C + + (LuciLoad ou MarsSnakeLoader) qui à son tour installe la porte arrière correspondante.
D'un point de vue technique, les deux portes arrière remplissent des fonctions régulières dans les campagnes d'espionnage : elles recueillent les métadonnées du système, établissent la communication avec un serveur de commande et de contrôle (C2), exfiltrent les informations sous forme chiffrée et acceptent les instructions à distance pour exécuter des commandes, écrire ou extraire des fichiers. Bien que leurs capacités soient similaires, les analystes mettent en évidence les changements tactiques dans le temps : l'acteur a commencé à utiliser LuciDoor, passé à MarsSnake et, dès 2026, est retourné au premier implant, suggérant des adaptations opérationnelles et des tests d'efficacité.
Il y a d'autres détails pertinents dans l'enquête. Dans certains cas MarsSnake a été déployé sans avoir besoin d'un chargeur intermédiaire : le point de départ était un accès direct à Windows (* .doc.lnk) qui a simulé un document Word, exécuté un script par lots qui a invoqué un script Visual Basic et a ainsi lancé la porte arrière. Les technologies positives relient cette technique à un outil public appelé FTPlnk _ phishing, en raison de coïncidences dans les marqueurs médico-légaux tels que le moment de la création du LNK et l'identificateur de la machine.
Les chercheurs soulignent également un curieux mélange des sources des outils: beaucoup semblent avoir des racines ou de l'inspiration dans les développements chinois, qui sont rares dans les campagnes auxquelles les victimes ont été confrontées. En outre, dans au moins un cas, les attaquants ont utilisé un routeur commis comme serveur C2 et, selon le rapport, une partie de leur infrastructure imitait les fonctionnalités du réseau russe, une tactique visant à distraire les enquêtes possibles sur l'origine réelle de l'attaque.
Cet acteur ne sort de nulle part : ESET avait déjà documenté UnsolicitedBooker en 2025 lorsqu'il a détecté une opération qui a affecté une organisation internationale en Arabie saoudite en utilisant MarsSnake. L'histoire du groupe, avec une activité attribuée depuis mars 2023, montre une large orientation géographique, y compris l'Asie, l'Afrique et le Moyen-Orient, et des traces opérationnelles qui se chevauchent avec d'autres groupes de menaces, tels que les Pirates de l'espace et les campagnes attribuées à d'autres portes arrière comme Zardoor.
Le phénomène ne se limite pas à cet acteur. Dans le même temps, la communauté de la sécurité a documenté les tactiques de subplantation et de mymétisme entre les groupes : une entité est née nommée par des chercheurs russes comme PseudoSticky, qui semble imiter un collectif pro-ukrainien appelé Sticky Werewolf et a dirigé des attaques contre des organisations russes utilisant des Trojans tels que RemcosRAT et DarkTrack RAT. Les analystes de la F6 croient que la similitude est délibérée et que, malgré l'apparence, il existe des différences évidentes dans l'infrastructure et la méthodologie qui indiquent qu'il n'y a pas de lien direct entre les grappes.
Un autre acteur, identifié comme Cloud Atlas, a utilisé des modèles distants dans des documents Word pour exploiter des vulnérabilités connues - un modus operandi qui se souvient des campagnes précédentes - et distribuer des logiciels malveillants comme VBShower et VBCloud. La société Solar décrit comment les documents malveillants chargent des modèles distants d'un C2 et exploitent des vulnérabilités comme CVE-2018-0802 pour démarrer la chaîne de fiançailles ( Analyse solaire).
Ce qui est mis en évidence dans cet ensemble d'incidents est la persistance du vecteur initial: la combinaison de l'ingénierie sociale avec les dispositifs ophimatiques continue à fonctionner parce que les utilisateurs continuent à activer les liens macro ou ouverts et les fichiers sans vérifier leur origine. En outre, l'utilisation de chargeuses C + + et de variantes qui évitent la phase intermédiaire montrent que les attaquants cherchent la flexibilité pour dessiner des défenses traditionnelles basées sur la signature.
Pour les organisations, et en particulier pour les fournisseurs de télécommunications qui gèrent des infrastructures essentielles et des volumes importants de données, les enseignements pratiques sont clairs. Il est essentiel de renforcer les politiques de gestion des documents entrants, de désactiver les macros par défaut et d'éduquer les équipes sur des autocollants spécifiques (p. ex. faux tarifs ou contrats pour le personnel de facturation). La segmentation du réseau, l'utilisation de la détection d'anomalies dans le trafic sortant et la surveillance des dispositifs de connexion sur les bords, tels que les routeurs, aident à détecter les serveurs C2 à l'aide d'équipement compromis.
Les équipes d'intervention en cas d'incident devraient également maintenir des routines d'analyse des artefacts : comparer les métadonnées (dates de création de fichier LNK, ID machine), identifier les chargeurs persistants et vérifier si des modèles distants sont utilisés dans les documents Office. Les rapports publics des entreprises de sécurité demeurent un guide précieux pour reconnaître les nouveaux indicateurs et tactiques d'engagement; en plus de l'analyse des technologies positives, il est utile de consulter des documents de référence généraux sur les menaces et les pratiques d'atténuation dans les ressources telles que le portail de recherche ESET ( Sécurité) et l'analyse historique des campagnes avec les NK Trace noire.
Dans une image des menaces où les acteurs changent de tactique et se copient, la combinaison de bonnes pratiques technologiques, la conscience continue et l'accès à l'intelligence open source est la meilleure défense pour arrêter les invasions qui, comme ceux qui mettent l'accent sur Non sollicitéBooker, cherchent à profiter d'une fenêtre humaine pour libérer des implants sophistiqués.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...