Une nouvelle vague d'intrusions qui a frappé les organismes publics et les centres de santé - en particulier les cliniques et les hôpitaux d'urgence - montre de nouveau comment les agresseurs mélangent les techniques traditionnelles et les outils modernes pour voler des informations sensibles. Cela a été alerté par l'équipe d'intervention d'urgence de l'ordinateur ukrainien, CERT-UA qui a suivi l'activité entre mars et avril 2026 et l'a liée à un groupe identifié comme UAC-0247.
Le point de départ de ces intrusions est apparemment un crochet émotionnel : les courriels qui promettent l'aide humanitaire et contiennent un lien. Ce lien peut conduire à un site Web légitime commis par une vulnérabilité de nantissement intersite (XSS) ou un faux portail fait avec l'aide d'outils d'intelligence artificielle. La véritable intention, en tout cas, est d'inciter le destinataire à télécharger un accès direct à Windows (fichier LNK) qui, lorsqu'il est activé, lance une application HTML (HTA) via l'utilitaire natif Mshta.exe. Ce flux en cours d'exécution profite des fonctionnalités du système valide pour exécuter le code malveillant sans soulever la suspicion immédiate.
Alors que la fenêtre HTA affiche un formulaire ou un leurre pour distraire l'utilisateur, en arrière-plan un exécutable est téléchargé pour injecter du code dans un processus système légitime (par exemple, runtimeBroker.exe). Dans certaines des intrusions analysées, on a observé un chargeur à deux étages avec un second module utilisant un format exécutable propriétaire, avec support pour les sections de code et de données, importation de fonctions et de relocalisations; en outre, la charge utile finale arrive compressée et chiffrée pour rendre difficile la détection et l'analyse.
Les composants identifiés comprennent un shell inverse basé sur TCP connu comme RAVENSHELL ou des variantes équivalentes, qui ouvre une connexion à un serveur de commande et de contrôle pour recevoir des instructions et exécuter des commandes par cmd.ex. Outils construits en . NET a également été téléchargé, comme une famille avec le nom AGINGFLY qui agit comme une porte arrière et communique avec son C2 par WebSockets. Une puissance Le script Shell appelé SILENTLOOP apparaît comme un facilitateur : il gère l'exécution des commandes, met à jour les paramètres et obtient l'adresse du serveur de commande depuis un canal Telegram, en utilisant des méthodes alternatives en cas d'échec.
L'objectif final décrit par les chercheurs était l'exploration interne des réseaux attaqués, le mouvement latéral entre les systèmes et, en particulier, l'extraction des références et des données sensibles stockées dans les navigateurs basés sur le chrome et dans WhatsApp Web. Pour ce faire, les opérateurs ont utilisé plusieurs utilitaires open source qui permettent, par exemple, d'éviter certaines protections Chromium pour accéder aux cookies et aux mots de passe enregistrés, extraire et décrypter les bases de données locales WhatsApp Web et développer des tunnels à partir du réseau engagé pour exfilter des informations ou recevoir des instructions supplémentaires.
Des outils tels que Chisel et d'autres solutions de tunnelage, qui ont des dépôts publics et une utilisation légitime dans l'administration et les essais, ont été réutilisés par les attaquants pour pivoter et maintenir des canaux de communication persistants. RustScan est mentionné comme un exemple de scanner réseau qui facilite la reconnaissance, et dans certains incidents même le logiciel d'extraction de cryptomoneda a été détecté dans les équipes engagées, indiquant une combinaison d'objectifs: de l'espionnage à la monétisation directe de l'accès.
Un autre aspect pertinent du modèle est la distribution adressée à certains collectifs par messagerie cryptée. CERT-UA a détecté des expéditions de Signal malveillantes contenant des fichiers ZIP prêts à déployer AGINGFLY en utilisant la technique connue sous le nom de chargement latéral de DLL, un moyen de tromper les applications légitimes dans le chargement des bibliothèques manipulées. Ces éléments donnent à penser que, outre les institutions civiles, des représentants des forces de défense ukrainiennes ont peut-être également été pris pour cible.
Pour comprendre la dimension opérationnelle de la menace, il convient de faire référence à des sources techniques sur chacun des éléments qui apparaissent dans l'attaque. L'abus des bénéfices légitimes du système, par exemple Mshta.exe o PowerShell est un modèle connu et documenté par les fabricants et l'équipement de sécurité parce qu'il permet aux attaquants d'exécuter des charges presque invisibles dans le cadre de processus fiables. Les outils de tunnelage et de numérisation susmentionnés, avec des projets publics sur des plates-formes telles que GitHub, peuvent être consultés pour comprendre comment les ressources légitimes sont réinterprétées à des fins malveillantes; par exemple, le projet Chisel est disponible dans son dépôt officiel en C'est pas vrai. et RustScan peuvent être consultés à votre dépôt. La présence de mineurs comme XMRig est également facile à vérifier sur votre site officiel xmrig.com.
Quelles leçons pratiques ce cas laisse-t-il? La première est que des campagnes efficaces combinent ingénierie sociale et abus des fonctionnalités légitimes du système, ce qui nécessite des contrôles à la fois sur le périmètre et à l'intérieur du réseau. Limiter la possibilité d'exécuter des raccourcis NK, des applications HTA et des scripts JS, et contrôler l'utilisation des utilitaires d'administration tels que mshta.exe, powershell. exe ou wscript. exe réduit les surfaces d'attaque et force l'attaquant à utiliser des méthodes plus bruyantes ou complexes pour atteindre la persistance. En outre, la surveillance des connexions sortantes inhabituelles, l'examen de l'intégrité des processus critiques et le blocage des charges utiles inconnues dans les comptes de courrier et les applications de messagerie sont des mesures complémentaires.
Au niveau de l'organisation, la notification rapide et le partage des indicateurs d'engagement entre les organismes de sécurité et les fournisseurs accélèrent la détection et l'intervention. Les groupes d'intervention comme le CERT-UA publient des avertissements et des analyses qui servent à coordonner l'atténuation; leur portail peut être consulté à l'adresse suivante : Cert.gov.ua. Et pour les équipements techniques et responsables de la sécurité, il est recommandé d'examiner les guides d'atténuation et les politiques pour bloquer l'exécution de fichiers non signés ou de types de fichiers dangereux, ainsi que d'appliquer la segmentation et les contrôles d'accès minimaux pour limiter la portée d'une intrusion.
Bref, cette campagne rappelle que la combinaison de leurres crédibles, l'exploitation de sites Web légitimes (ou de pages générées par l'IA) et l'utilisation d'outils administratifs du système lui-même demeurent une formule efficace pour les acteurs des ressources. La défense est de réduire les fenêtres d'exposition en appliquant des contrôles techniques, des politiques de sécurité et une formation afin que le personnel ne tombe pas dans l'appât initial.
Pour élargir l'information par des analyses et des recommandations techniques, en plus de consulter la communication officielle du CERT-UA, il est utile d'examiner la documentation et les alertes sur l'utilisation abusive des utilitaires Windows et les techniques de chargement latéral publiées par les fabricants et les centres d'intervention, ainsi que les pages et les dépôts des outils susmentionnés.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...