Ces dernières semaines, des chercheurs ont détecté une campagne sophistiquée d'hameçonnage visant les utilisateurs en Russie qui combine la tromperie sociale avec diverses étapes de charge utile pour obtenir le contrôle total de l'équipement et, dans de nombreux cas, des fichiers de chiffrement. L'opération utilise des documents apparemment administratifs, l'accès aux services publics de cloud et des techniques qui cherchent à désactiver les défenses natives de Windows, ce qui en fait un exemple clair de la façon dont les attaquants enchaînent les outils et services légitimes pour échapper aux blocages. Pour une analyse technique et des exemples spécifiques, voir le rapport Fortinet FortiGuard Labs qui documente le flux de l'infection: Dans une campagne de logiciels malveillants multi-étapes Windows.
L'attaque commence par un crochet classique mais efficace : un fichier compressé contenant des documents d'apparence inoffensive et un accès direct à Windows (LNK) avec un nom russe conçu pour ressembler à un .txt. Ce raccourci cache un ordre PowerShell qui télécharge un script d'un dépôt public dans GitHub. La stratégie d'utilisation de services tels que GitHub pour les scripts et Dropbox pour les binaires rend l'infrastructure résistante à la suppression rapide parce que la séparation des fonctions entre les plateformes publiques complique la réponse des fournisseurs et des équipements de sécurité.
Le premier script qui fonctionne agit comme un chargeur de lumière: il cache la fenêtre PowerShell de sorte que l'utilisateur ne perçoit pas l'activité, laisse une copie "bait" visible pour maintenir l'illusion et, dans l'intervalle, avise l'opérateur à travers l'API Telegram Bot. Cette notification est un signe que la phase initiale est passée sans erreur et que l'attaquant peut continuer avec les étapes ultérieures. La technique consistant à montrer un document légitime à la victime tout en accomplissant silencieusement des actions malveillantes de derrière est une tactique sociale qui réduit la probabilité que la victime arrête l'attaque.
Après un retard délibéré, le chargeur récupère et exécute un fichier Visual Basic fortement obscurci qui construit la prochaine charge utile directement en mémoire. En montant le code en mémoire, ils évitent de laisser des artefacts sur le disque et frustrent de nombreux outils de détection traditionnels. Si la charge n'a pas de privilèges élevés, le code ennuie l'utilisateur avec les tables de contrôle de compte jusqu'à ce qu'il soit relevé; une fois avec les permis administratifs, il procède à désactiver et blindé l'environnement pour empêcher la détection et la récupération.
Les mesures qui s'appliquent aux logiciels malveillants sont variées et inquiétantes: il modifie les exclusions et les paramètres de Microsoft Defender, désactive les composants de protection supplémentaires en utilisant PowerShell, utilise un utilitaire appelé Ne pas défendre enregistrer un faux produit de sécurité au centre de sécurité Windows et ainsi provoquer la désactivation de Defender, et modifier les politiques dans le registre pour désactiver les outils administratifs et diagnostiques. Microsoft conseille d'activer la protection contre la manipulation et de surveiller les changements inhabituels dans le service pour atténuer l'abus de cette API; ses recommandations techniques sont disponibles dans la base de connaissances Microsoft: Microsoft Defender vs Defendernot.
En plus de neutraliser les défenses, l'acteur télécharge des modules supplémentaires qui collectent des informations et les filtrent. Un module .NET prend des captures d'écran régulières et les envoie via Telegram, d'autres composants extraire des identifiants stockés dans les navigateurs, les pièces de cryptomoneda et les applications telles que Discord, Steam ou Telegram, et peut également enregistrer des images audio microphone, webcam et clipboard. L'un des derniers artefacts est un cheval de Troie d'accès à distance connu sous le nom d'Amnesia RAT, récupéré de Dropbox, qui fournit la télécommande totale : listing et achèvement des processus, exécution des commandes, déploiement de charges utiles supplémentaires et infiltration de données via HTTPS ou par des services d'hébergement externes. Fortinet décrit ces capacités en détail dans son analyse technique: Voir rapport Fortinet.
La menace ne se limite pas à l'espionnage: après avoir laissé le système inerte devant les outils de défense, les agresseurs déploient une variante de ransomware dérivé de la famille Hakuna Matata qui numérote les documents, le code source, les images et d'autres biens. Avant le cryptage, les processus qui pourraient interférer avec son fonctionnement sont terminés et, silencieusement, l'ansomware surveille le presse-papiers pour remplacer les adresses cryptomoneer par d'autres contrôlés par les attaquants. Le résultat final sur de nombreuses machines est la perte d'accès à des informations critiques et, dans certains cas, un blocage supplémentaire de l'interface utilisateur via un composant WinLocker.
Parallèlement, les équipes d'intervention ont observé des campagnes connexes utilisant différentes techniques et outils mais ayant des objectifs similaires. Par exemple, l'opération appelée DupeHike, attribuée à l'acteur du GNU0902 et documentée par Laboratoires Seqrit, utilise des autocollants sur la paie et les politiques internes pour induire l'exécution d'un implant appelé DUPERUNNER qui, à son tour, télécharge le cadre AdaptixC2. Il y a aussi eu des campagnes d'un acteur connu sous le nom de Paper Werewolf ou GOFFIE qui a utilisé des leurres d'intelligence artificielle et des suppléments Excel XLL pour livrer la porte arrière d'EchoGather ; Intezer a expliqué cette chaîne et l'utilisation de WinHTTP en communication avec C2 : Analyse par intégrateur.
Que peuvent faire les organisations et les utilisateurs de ce genre de campagne? Il n'y a pas de solution unique, mais plusieurs pratiques réduisent les risques. La première ligne de défense est d'empêcher l'exécution automatique du code des documents et l'accès direct par courrier, et de définir des politiques qui limitent l'utilisation de PowerShell et des scripts dans les postes de travail qui ne l'exigent pas. Il est important d'activer des mécanismes d'intégrité dans les antivirus, comme la protection de manipulation offerte par les solutions modernes, et d'appliquer des contrôles d'application qui empêchent l'exécution binaire à partir du temps ou des emplacements des utilisateurs. La segmentation du réseau et la séparation des comptes privilégiés, ainsi que la sauvegarde hors ligne des données critiques, réduisent l'impact en cas de chiffrement massif. Microsoft et d'autres fournisseurs publient des guides spécifiques pour atténuer les abus des plateformes et les recommandations opérationnelles, et les équipes de sécurité devraient examiner ces ressources et alertes régulièrement.
Si une organisation soupçonne qu'elle a été compromise par cette famille de menaces, les mesures immédiates devraient inclure l'isolement des hôtes affectés pour couper l'exfiltration, la collecte de preuves chaudes soigneusement pour éviter de détruire des traces, la rotation des pouvoirs et la notification aux entités réglementaires et bancaires concernées si les données financières étaient en danger. Un plan d'intervention testé et une collaboration avec les fournisseurs de services de sécurité peuvent accélérer la récupération. Pour comprendre l'abus spécifique de Defendernot et comment le détecter, les équipes peuvent se référer à l'analyse Binary Defense et aux documents de réponse publiés par les fournisseurs d'EDR et de SOC: Defendernot: tourner Windows Defender contre lui-même.
La leçon technique et opérationnelle de ces incidents est claire : les attaquants modernes réalisent des engagements totaux sans exploiter les défaillances des logiciels, en profitant au lieu de l'abus des fonctionnalités légitimes du système et des services cloud. Cela nécessite la combinaison de la technologie avec les processus et la formation; l'utilisateur qui reçoit un ZIP avec un LNK ne devrait pas l'ouvrir par défaut, et les administrateurs devraient surveiller les changements dans les politiques de sécurité et les indicateurs de télémétrie qui annoncent l'exécution non autorisée de PowerShell, les connexions aux dépôts publics inhabituels ou le trafic aux services de messagerie et l'hébergement de fichiers des stations qui ne les utilisent jamais. La visibilité, la prévention et un plan d'intervention sont la meilleure défense contre ces chaînes d'attaque complexes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...