Les chercheurs en cybersécurité ont mis au point une campagne de cryptojacking qui combine de vieux tours de génie social avec des techniques avancées d'exploitation et de persistance. Au centre de l'attaque il y a des binaires offerts dans des logiciels pirates : supposément des installateurs "libres" de suites de bureau et d'autres outils premium qui cachent en fait un chargeur malveillant qui finit par déployer un Singe Miner personnalisé basé sur XMRig.
La campagne ne se limite pas à un processus minier : elle est modulaire, résistante et, à certains égards, se comporte comme un ver. Selon l'analyse publiée par Trellix, l'exécutable récupéré agit comme un contrôleur central qui peut installer des composants, surveiller que le mineur continue de fonctionner, le redémarrer si nécessaire et, dans certains cas, supprimer les tests si commandé. Cette séparation des fonctions par les modes d'exploitation permet à l'acteur d'accroître l'efficacité des mines et de maintenir le contrôle des systèmes compromis.
La méthode d'entrée est ancrée dans la confiance : les utilisateurs qui recherchent un logiciel de paiement gratuit finissent par télécharger un "dropper" qui décompresse et écrit plusieurs périphériques sur disque. Ils comprennent généralement une copie légitime d'un exécutable système qui est utilisé pour l'extraction de chargement latéral DLL, et des binaires qui désactivent les outils de sécurité ou installent des mécanismes de persistance. Pour étoffer les privilèges et maximiser la capacité de la mine, l'exploitant intègre également un conducteur vulnérable - WinRing0x64.sys - qui exploite une faille connue ( CVE-2020-14979) et permet de manipuler des configurations de CPU de bas niveau; l'effet signalé est une augmentation significative du hashrate RandomX.
En plus de profiter du conducteur vulnérable, la campagne montre des comportements de propagation en continu pour un cryptologue typique. Le malware essaie de se répliquer par des moyens amovibles et peut se déplacer latéralement même dans des environnements isolés (grappé par l'air), ce qui vous rapproche de la catégorie des vers : il n'appartient pas seulement à l'utilisateur de télécharger le compte-gouttes, mais il recherche activement de nouveaux vecteurs d'infection.
La pièce malveillante intègre également une "bombe logique" temporaire: vérifiez l'heure locale du système et, si la date dépasse un seuil prédéfini - dans ce cas, le 23 décembre 2025 - une routine de démantèlement contrôlée est activée. Ce comportement suggère que les opérateurs ont l'intention de maintenir la campagne pendant des mois ou des années et ont planifié une sorte de transition coordonnée ou de fermeture, peut-être par l'expiration de l'infrastructure de commandement et de contrôle, des changements dans le marché de cryptomonéda ou une migration vers une nouvelle variante.
En cas de peu, la recherche d'autres entreprises révèle comment la combinaison d'outils automatisés et d'assistants linguistiques pourrait faciliter ces attaques. Darktrace a identifié un artefact qui a probablement été généré à l'aide d'un grand modèle de langue (LLM) pour exploiter la vulnérabilité connue sous le nom de React2Shell (CVE-2025-55182) et télécharger un kit en Python qui, à son tour, a servi à lancer un mineur XMRig. Darktrack explique comment une seule session de projection a permis à un attaquant de produire un cadre opérationnel capable de compromettre des dizaines d'hôtes.
Parallèlement, il existe des outils de numérisation et d'exploitation - comme celui de l'API WhoisXML sous le nom de ILOVEPOOP - qui permettent de recueillir des informations sur les systèmes exposés à React2Shell et cherchent à préparer le terrain pour les campagnes de masse. L'analyse de WhoisXML suggère également une division du travail : des équipes d'experts auraient élaboré la trousse et des opérateurs moins sophistiqués l'auraient déployée à grande échelle, rendant les erreurs opérationnelles détectables par les systèmes de pots de miel. Le rapport peut être lu en API WhoisXML.
L'utilisation de modèles de langage avancés ou de trousses d'outils ne rend pas l'attaque nouvelle de son objectif final - obtenir le pouvoir de calcul à la mine - mais réduit la barrière technique pour les acteurs moins qualifiés et accélère la chaîne de développement et de déploiement. Il en résulte une menace plus accessible et évolutive.
Pour les utilisateurs et l'équipement de TI, cela implique deux apprentissages immédiats. Tout d'abord, évitez le piratage de logiciels à tout prix: au-delà des problèmes juridiques, les installateurs non officiels sont l'un des vecteurs les plus simples pour entrer les logiciels malveillants. Deuxièmement, les vecteurs techniques exploitables rapprochés: garder les systèmes et les pilotes à jour, bloquer l'exécution automatique à partir de moyens amovibles, surveiller CPU utilisent des pics et ont des solutions EDR qui identifient les comportements miniers et les techniques de chargement latéral.
Si vous voulez approfondir, l'analyse technique de Trellix fournit une ventilation détaillée du flux d'infection et des capacités binaires, et est une lecture recommandée pour l'équipement de réponse: Rapport Trellix. Pour comprendre le contexte de l'opération automatisée avec l'IA, le rapport Darktrace fournit des exemples pratiques et des alertes sur l'utilisation de LLM par des acteurs malveillants. Et si vous recherchez le contexte sur la pièce exploitée pour échafauder les privilèges, l'onglet vulnérabilité du NVD clarifie le problème technique derrière le conducteur vulnérable : CVE-2020-14979.
Enfin, et bien que la somme monétaire produite par chaque opération de cryptologie puisse être modeste, l'ajout de centaines ou de milliers d'équipement engagé constitue un botnet très rentable pour les attaquants. La leçon est claire: les défenses de base - patching, contrôles sur les médias amovibles, politiques de décharge et observabilité - restent les plus efficaces pour couper ce type de campagne avant qu'ils ne génèrent plus de dommages.
Si vous gérez des systèmes critiques, il vaut la peine de confirmer qu'il n'y a aucun signe de processus XMRig en cours (le projet officiel est en cours). C'est pas vrai.), examiner les métiers d'amorçage et de service, et vérifier l'utilisation de pilotes tiers. En matière de cybersécurité, la prévention et la détection précoce restent les meilleurs investissements contre les menaces qui combinent l'ancien - naïveté humaine et logiciel pirate - avec le nouveau - l'exploitation automatisée et l'utilisation de l'IA.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...