Les chercheurs en cybersécurité ont identifié une campagne active qui exploite la peur fiscale d'infecter des équipements en Inde avec une porte arrière en plusieurs phases, apparemment à des fins d'espionnage. Les agresseurs envoient des courriels qui simulent les rapports du ministère de l'impôt sur les pénalités présumées et, lorsque la victime ouvre le dossier ci-joint, commencent une chaîne d'engagement conçue pour préserver l'accès persistant et extraire des renseignements sensibles.
La ventilation technique publiée par l'équipe eSentire montre que l'attaque commence par un fichier ZIP qui montre seulement un exécutable visible intitulé "Inspection Document Review.exe." Cet exécutable utilise une technique de chargement latéral pour charger une DLL malveillante incluse dans le même paquet. Que DLL intègre des routines pour détecter les environnements d'analyse et de débogage, et contacter un serveur externe pour télécharger la prochaine étape de l'attaque, qui inclut shellcode avec des capacités de levage de privilège.
Afin d'alléger les privilèges, l'expéditeur utilise une technique basée sur les COM qui évite l'avis de contrôle de compte utilisateur (CAU) et, comme mesure de dissimulation, modifie sa propre structure de processus - le bloc d'environnement de processus ( BEP) - semble être le processus légitime de Windows "Explor.exe". Ainsi, il réduit les possibilités d'être détecté par des contrôles de base.
Le serveur de commande et de contrôle récupère un installateur Inno Setup, nommé "180.exe" et hébergé dans un domaine suspect. Cet installateur adapte son comportement en fonction de la présence du processus Avast ("AvastUI.exe"); si vous détectez l'antivirus, le malware automatise le mouvement et l'interaction de la souris avec l'interface Avast pour ajouter certains fichiers à la liste des exclusions, plutôt que d'essayer de désactiver le moteur de protection. Cette astuce permet aux composants malveillants d'éviter la détection sans attirer l'attention sur les changements évidents dans les paramètres de sécurité du produit.
Un des binaires marqués comme exclus est un utilitaire appelé "Setup.exe", qui écrit sur le disque un exécutable appelé "mysetup.exe." Ce binaire est identifié comme SyncFuture TSM, un outil commercial de gestion à distance développé par une entreprise chinoise. Dans ce scénario, les attaquants réutilisent un produit de gestion à distance légitime pour couvrir les paramètres engagés : enregistrer l'activité de l'utilisateur, gérer les tâches à distance et exfilter les données avec une grande discrétion.
Dans le même temps, la présence d'une DLL associée à la famille Blackmoon (également connue sous le nom de KRBanker), un Trojan bancaire qui a été transformé et est apparu dans les campagnes contre les entreprises en Corée du Sud, aux États-Unis et au Canada. Blackmoon est un exemple de la façon dont les familles de malwares initialement orientées vers la fraude financière évoluent en des ensembles de capacités plus étendus et flexibles, adaptés à l'espionnage.
Après l'exécution de l'installateur et le démarrage de l'agent RMM malveillant, la campagne déploie également une série de scripts et d'utilitaires qui facilitent la persistance : des fichiers batch qui créent des répertoires personnalisés et ajustent les permissions, des scripts qui manipulent les permissions sur les dossiers utilisateurs et un nettoyant qui tente d'effacer les impressions. Un autre exécutable répertorié comme "MANC.exe" agit comme orchestre, élevant des services et permettant un enregistrement détaillé de l'activité. Tout cela vise à fournir aux attaquants un contrôle granulaire et un canal robuste pour maintenir l'accès à long terme.
Les implications de cette combinaison technique sont claires: en mélangeant les techniques anti-analyse, l'élévation des privilèges, DLL sideloading, abus de logiciels commerciaux et les tactiques d'évitement de solution de sécurité, les acteurs montrent à la fois la capacité technique et l'intention de maintenir un espionnage durable. En outre, l'utilisation d'outils légitimes dans le cadre de la chaîne complique la détection et l'attribution, car le trafic et les processus peuvent être confondus avec les opérations administratives acceptées par les organisations.
Pour contextualiser, Blackmoon n'est pas un nouvel acteur; son évolution est documentée par les entreprises et l'analyse industrielle ( Broadcom, Unité42, Rapide7) et les tactiques observées dans cette opération - le phishing dirigé, l'exploitation de la confiance dans les outils légitimes, et l'évasion antivirus - correspondent aux campagnes de collecte de renseignements à l'échelle.
La campagne qui a touché les utilisateurs en Inde a été documentée par eSentire; ils décrivent comment l'infrastructure et les décisions de conception de la chaîne d'attaque pointent vers une opération coordonnée et bien préparée, même si pour l'instant il n'y a pas d'allocation publique à un groupe particulier ( Rapport eSentire).
Du point de vue de la défense, la menace souligne combien il est dangereux de se fier à la légitimité apparente d'un dossier ou à l'origine institutionnelle supposée d'un courrier. Le maintien de pratiques d'hygiène numérique telles que la vérification des communications fiscales sur les canaux officiels, l'éviter d'ouvrir des pièces jointes d'origine douteuse et la vérification de la signature numérique des installateurs peuvent empêcher l'entrée initiale de l'attaque. Au niveau organisationnel, des mesures telles que le durcissement des politiques de contrôle des applications, le suivi des changements dans les listes d'exclusion en matière de sécurité, la segmentation des privilèges administratifs et le déploiement de solutions EDR avec la capacité de détecter le chargement latéral et les techniques de manipulation PEB augmentent considérablement la résilience.
Il est également important pour les équipes de sécurité d'enquêter sur toute interaction automatisée avec l'interface d'un antivirus - par exemple, les mouvements inhabituels de curseur ou les changements récents aux règles d'exclusion - et de bloquer ou de mettre en quarantaine l'exécutable à partir de domaines ou d'infrastructures malveillants connus. Pour ceux qui gèrent des environnements Windows, examiner les configurations UAC et contrôler l'utilisation d'outils RMM tiers peut réduire la surface d'abus.
La réutilisation de logiciels légitimes à des fins malveillantes n'est pas nouvelle, mais elle gagne en pertinence : elle permet aux attaquants de capitaliser sur la confiance que les gestionnaires placent dans les services commerciaux et en même temps rend la réponse immédiate difficile. Ainsi, au-delà du patching et de la mise à jour, la défense continue à combiner les contrôles techniques, les procédures de vérification et la formation des utilisateurs pour reconnaître les leurres comme des avis fiscaux frauduleux.
Si vous voulez entrer dans les détails techniques et les indicateurs d'engagement signalés, les analyses de l'industrie offrent du matériel utile et vérifié: en plus de l'étude eSentire, vous pouvez voir l'histoire de Blackmoon et les fiches techniques de Broadcom, rapports Unité42 et de la recherche Rapide7. Pour ceux qui doivent examiner des échantillons particuliers, il y a des entrées publiques dans les dépôts d'analyse, comme VirusTotal qui documentent certains des composants détectés.
Dans un monde où les attaquants combinent ingénierie sociale et abus d'outils légitimes, la meilleure défense est un mélange de scepticisme informé, de contrôles techniques adéquats et de collaboration entre les équipes de sécurité et les fournisseurs pour partager des indicateurs et atténuer rapidement de nouvelles variantes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...