La communauté de sécurité a récemment remis la loupe sur un groupe nord-coréen connu dans le monde sous le nom de ScarCruft ou APT37. Les chercheurs de Zscaler ont donné une campagne complexe et bien travaillée qu'ils ont nommée "Ruby Jumper" et qui, selon le rapport publié à la fin de 2025, combine les techniques d'ingénierie sociale traditionnelles avec des astuces modernes: l'utilisation de services en nuage légitimes comme canal de commande et de contrôle et une curieuse stratégie pour sauter des réseaux isolés par des moyens amovibles.
L'attaque commence par quelque chose qui, en apparence, peut passer inaperçu : un fichier LNK malveillant. Lorsque vous l'ouvrez, vous exécutez une chaîne PowerShell qui tente non seulement de persister, mais supprime également plusieurs binaires et scripts intégrés dans votre propre accès direct. Parmi ces éléments figure un document de leurre - dans un cas, un article traduit en arabe sur le conflit palestinien - Israël - et plusieurs dispositifs qui sont activés dans une chaîne pour amener l'intrusion à des étapes toujours plus profondes.
Un des composants les plus frappants est un exécutable que les chercheurs ont appelé RESTLEAF. Ce binaire est exécuté en mémoire et, pour la première fois dans les campagnes attribuées à cet acteur, utilise Zoho WorkDrive comme mécanisme C2 (commande et contrôle). RESTLEAF est authentifié avec le service à l'aide d'un jeton valide, télécharger shelcode déposé là et l'injecter dans des processus pour exécuter des étapes ultérieures sans laisser trop de traces sur le disque.
L'utilisation des plateformes de stockage en nuage comme vecteur C2 n'est pas nouvelle, mais elle attire l'attention sur les acteurs persistants qui commencent à exploiter des services moins massifs pour passer sous le radar. Si vous voulez consulter l'analyse technique et les preuves publiées par les découvreurs, le rapport Zscaler est disponible sur votre blog de recherche ( Voilà.), et la page officielle de Zoho WorkDrive aide à comprendre le service qui a été utilisé dans l'attaque ( Zoho WorkDrive).
Après l'exécution initiale, RESTLEAF déploie un installateur auquel les chercheurs appellent SNAKEDROPPER. Ce composant met en place un environnement d'exécution autonome Ruby dans la machine compromise, crée une persistance à travers une tâche programmée et dépose plusieurs modules écrits dans Ruby, dont THUMBSBD et VIRUSTASK. La conception de ce Ruby « mini-plateforme » permet aux opérateurs d'activer des fonctionnalités avancées même dans des systèmes qui n'ont pas installé Ruby auparavant.
THUMBSBD est probablement la partie la plus concernée des équipes de sécurité opérationnelles. Il est présenté comme un fichier Ruby et sa spécialité est la diffusion et le placement de systèmes connectés à Internet et d'équipement isolé (gappé d'air) par des lecteurs USB et d'autres moyens amovibles. Si vous détectez la présence d'une mémoire amovible, créez des dossiers cachés pour stocker les commandes émises par les opérateurs ou laisser les résultats qui seront ensuite récupérés par un ordinateur connecté au réseau.
À partir de cette position, THUMBSBD peut collecter des informations système, télécharger des frais supplémentaires à partir de serveurs distants, des fichiers d'exfiltration et exécuter des ordres arbitraires. L'un des binaires secondaires qu'il installe est FOOTWINE, une charge chiffrée qui comprend un lanceur de shellcode et des fonctions de surveillance : enregistrement des clés, capture audio et vidéo, et communication avec un serveur C2 via un protocole binaire personnalisé sur TCP. En outre, la campagne diffuse également une porte arrière connue sous le nom de BLUELIGHT, qui est considérée comme liée à cet acteur depuis des années et qui abuse également des fournisseurs de cloud (Google Drive, OneDrive, pCloud, BackBlaze) pour recevoir des commandes et transférer des fichiers.
VIRUSTASK, d'autre part, répète le modèle de Ruby et se concentre spécifiquement sur la conversion des unités amovibles en vecteurs d'infection pour les systèmes hors réseau. Alors que THUMBSBD agit comme un bras d'exploitation (exécution et exfiltration), VIRUSTASK cherche à maximiser la capacité des mémoires USB à entrer des logiciels malveillants dans des segments de réseau qui, par conception, sont isolés.
Ce qui rend ce cas clair est la combinaison des méthodes habituelles avec les ressources modernes: le leurre humain (faux documents), l'abus de la fonctionnalité administrative de Windows par le biais de PowerShell et LNK, la dissimulation des charges de mémoire et l'exploitation des services cloud comme conduits légitimes. Le résultat est une chaîne d'attaques en plusieurs étapes conçues pour être résistantes et difficiles à éradiquer sans une réponse coordonnée.
D'un point de vue défensif, l'attention devrait être portée à plusieurs points : surveiller et analyser le comportement inhabituel des processus qui exécutent PowerShell ou manipulent les fichiers LNK, surveiller l'utilisation des jetons et l'accès aux API de stockage en nuage, contrôler strictement les politiques et l'accès aux moyens amovibles et désactiver l'exécution automatique si possible. Il est également essentiel que les équipes d'intervention en cas d'incident et de COS intègrent des détecteurs de mémoire et de télémétrie en réseau pour identifier les communications avec les services en nuage qui ne sont pas courantes dans l'organisation.
Si vous voulez lire un communiqué de presse résumant la campagne du point de vue de l'information, des médias spécialisés tels que BleepingComputer ont également couvert la constatation et amplifier les conclusions techniques du rapport ( informations complémentaires sur BleepingComputer).
Ruby Jumper nous rappelle que les attaquants combinent créativité technique et tactiques connues pour dessiner des défenses.
La recommandation à l'intention des gestionnaires et des responsables de la sécurité ne consiste pas à sous-estimer la menace que représentent les unités amovibles et la possibilité que les services en nuage soient utilisés comme passerelle de contrôle par les acteurs persistants. La détection précoce, la segmentation des réseaux, la bonne gestion des références et le resserrement des politiques de mise en œuvre (en particulier dans les postes de travail ayant accès à des documents externes) demeurent des mesures essentielles pour atténuer ces campagnes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...