Une équipe espagnole de renseignement sur les menaces a décrit une récente campagne qui s'est concentrée sur les organisations ukrainiennes et, par son modus operandi, indique des acteurs ayant des liens possibles avec des groupes russes précédemment documentés. L'analyse publiée par LAB52 du groupe S2 Il baptise la pièce malveillante comme DRILLAPP et place l'observation initiale en février 2026, bien que les premières traces remontent à la fin de janvier.
Le plus frappant de cette campagne est l'utilisation du navigateur comme vecteur d'exécution et de persistance. Au lieu d'utiliser des exécutables traditionnels, les attaquants profitent d'un accès apparemment légitime au navigateur Edge - en le lançant en mode "sans tête" avec des paramètres qui désactivent les protections - pour exécuter un code JavaScript d'uscado hébergé dans des services publics comme Pâte. En activant des drapeaux comme Pas de bac à sable, -désactiver-web-sécurité ou - utilisation-fake-ui-for-media-stream, le processus du navigateur obtient des permissions qui seraient normalement restreintes : accès au système de fichiers, capture de caméra et de microphone, et enregistrement d'écran sans intervention de l'utilisateur. Pour comprendre en termes généraux ce que signifie exécuter un navigateur dans ce mode, vous pouvez voir l'entrée sur navigateurs sans tête.
Le premier vecteur observé a combiné les accès directs de Windows (.LNK) avec des applications HTML temporaires (HTA) qui ont téléchargé et lancé le script distant. Les raccourcis ont été copiés dans le dossier de démarrage de Windows pour s'assurer qu'ils sont réajustés après un redémarrage. Dans une itération ultérieure, les opérateurs ont changé la tactique et ont eu recours à des modules du panneau de contrôle, tout en maintenant la chaîne d'infection essentiellement la même. Le changement n'était pas seulement dans le transport : la porte arrière a évolué et a commencé à offrir des fonctions plus robustes, comme le dénombrement récursif des fichiers, les téléchargements de masse et le téléchargement arbitraire des fichiers.
D'un point de vue technique, les attaquants ont surmonté les limites de l'environnement JavaScript lui-même en utilisant le Protocole Chrome DevTools (CDP), un protocole interne de navigateurs à base de chrome qui, lorsqu'il est exposé par le paramètre de nettoyage à distance, permet des actions que JavaScript standard ne peut pas effectuer par lui-même, y compris le téléchargement de fichiers à distance. Cette dépendance CDP est une piste claire sur la façon dont la surface des navigateurs est exploitée pour sauter les restrictions de sécurité conçues précisément pour prévenir de tels abus.
DRILLAPP fonctionne comme une porte arrière légère qui, en plus de maintenir des fichiers et de communiquer avec un serveur de commande et de contrôle, intègre des capacités d'espionnage multimédia : capture audio, images de caméra et capture d'écran. Dans sa première exécution, il recueille une "empreinte" de l'appareil en utilisant des techniques telles que les anses et envoie ces informations avec une identification du pays déduit du fuseau horaire du système. Le code contient une liste explicite des fuseaux horaires d'intérêt - y compris l'Ukraine, le Royaume-Uni, la Russie, les États-Unis. Les États-Unis et plusieurs pays européens et asiatiques - et s'il n'en détecte pas, il suppose par défaut les États-Unis. États-Unis.
Pour masquer l'adresse réelle du serveur de contrôle, les attaquants utilisent des sites collés comme des "solutions de goutte morte" qui renvoient une URL WebSocket que les logiciels malveillants utilisent pour maintenir la communication. LAB52 documente également une variante précoce qui, au lieu de Pastefy, communiquait avec un domaine apparemment générique ("gnome [.] com"), suggérant l'expérimentation et le développement actif de la boîte à outils.
L'utilisation du navigateur comme vecteur a des raisons pratiques pour un attaquant: les navigateurs sont des processus communs dans les systèmes, leur présence ne suscite pas de soupçons immédiats et, lorsqu'ils sont exécutés avec certains paramètres, offrent un accès direct aux ressources sensibles qui, dans des conditions normales, nécessiteraient une interaction et des autorisations explicites. Cela fait du navigateur une plate-forme attrayante pour les techniques d'évasion et d'exfiltration sous couverture.
Que peut faire une organisation pour réduire le risque de telles attaques? Tout d'abord, il est approprié de surveiller les modèles anormaux tels que les instances Edge ou Chrome lancées avec des paramètres de débogage à distance ou sans bac à sable, et de contrôler les changements dans les dossiers de démarrage et le chargement des modules de panneau de contrôle qui n'ont pas de justification administrative. Les politiques de navigation d'entreprise devraient limiter l'exécution de HTA et bloquer ou inspecter les communications sortantes pour coller et les services de dépôt dynamiques utilisés comme gouttes mortes. L'application de contrôles stricts de la caméra et du microphone, ainsi que les solutions EDR qui détectent les processus de navigateur qui ouvrent des sockets inhabituels ou d'accès atypique au système de fichiers, contribue également à réduire la surface d'attaque.
Pour ceux qui veulent approfondir l'explication technique et les CIO, le rapport LAB52 original est la référence directe à cette campagne : DRILLAPP - Rapport LAB52. Si la campagne utilise des leurres liés à des initiatives civiles ou à des organisations d'aide, il est important de comparer les liens et les pages avec des sources officielles, par exemple la Fondation Revenir en vie ( sauver la vie.in.ua) ou des services légitimes tels que Lien stellaire éviter de tomber dans des pages frauduleuses.
En termes plus généraux, l'incident rappelle que les outils largement utilisés dans l'infrastructure quotidienne - navigateurs, services de collage ou fonctions de débogage - peuvent devenir des armes s'ils ne sont pas surveillés et configurés avec des critères de sécurité. La menace est à la fois technique et sociale: elle combine l'ingénierie sociale (thématiques) et l'abus de capacités logicielles légitimes et à ce croisement réside son efficacité.
La recommandation finale pour les gestionnaires de TI et les utilisateurs est de maintenir une posture proactive: mettre à jour et durcir les navigateurs et les politiques d'exécution, les processus d'audit qui commencent au démarrage, et ont des capacités de détection qui distinguent un processus de navigateur ordinaire de celui qui se comporte comme un agent de collecte de données et d'exfiltration. La publication de LAB52 fournit des détails pour les équipes qui doivent identifier des indicateurs spécifiques et ajuster les contrôles dans leur environnement.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...