Les chercheurs en cybersécurité ont mis en lumière une campagne sophistiquée qui abuse des sites légitimes engagés à propager un Trojan éloigné jusqu'à présent documenté publiquement, nommé MIMICRAT (également connu sous le nom d'AstarionRAT). L'analyse la plus récente d'Elastic Security Labs détaille comment les attaquants combinent les techniques d'ingénierie sociale, les chaînes PowerShell et les charges utiles en mémoire pour atteindre la persistance et le contrôle à distance sur les machines Windows; vous pouvez voir le rapport complet sur le site Elastic pour voir les indicateurs pertinents et la télémétrie: Laboratoires de sécurité élastiques - MIMICRAT.
L'intrusion commence très discrètement : les pages légitimes sont modifiées pour servir de code malveillant qui, à son tour, charge des scripts hébergés à l'extérieur. Dans le cas documenté par Elastic, le service concerné était bincheck [.] io, un site de validation BIN (numéro d'identification bancaire). Le JavaScript injecté redirige la victime vers un script PHP qui simule une vérification Cloudflare et convainc l'utilisateur de copier et coller une commande dans la boîte de dialogue Exécuter Windows. Ce geste simple déclenche l'exécution d'une chaîne PowerShell qui contacte un serveur de commande et de contrôle (C2) pour télécharger la prochaine étape de l'attaque.
La sophistication de la chaîne est notoire : le deuxième script PowerShell ne se limite pas au code d'exécution ; il modifie le comportement du système pour éviter la détection. Parmi les actions documentées figurent les manipulations visant la télémétrie des événements Windows et l'interface anti-malware de Microsoft, respectivement connue sous le nom d'ETW (Event Tracing for Windows) et AMSI (Antimalware Scan Interface). Les deux mécanismes sont précisément les défenses sur lesquelles les opérateurs tentent d'évacuer leur charge utile sans être observés - pour approfondir sur ces composants, Microsoft maintient la documentation technique: ETW et LIMITÉE.
Une fois ces barrières extraites, le processus fournit un chargeur écrit en Lua qui déchiffre et exécute shellcode directement en mémoire. Ce shellcode installe enfin l'agent MIMICRAT, qui communique avec son C2 via HTTPS via le port 443. Le choix de HTTPS et l'émulation de ses propres modèles de trafic d'outils d'analyse web facilitent la télémétrie offensive pour passer inaperçue entre les communications légitimes.
Du point de vue fonctionnel, MIMICRAT est un logiciel personnalisé écrit sur C + qui offre une large gamme de capacités post-opérationnelles. Parmi ses facultés figurent le remplacement des jetons Windows à l'échelle des privilèges, la création de tunnels SOCKS5 pour le trafic de routage, et un large ensemble de commandes - selon Elastic, environ 22 - qui comprennent le contrôle des processus et le système de fichiers, l'accès à un shell interactif, l'injection de shellcode et la fonctionnalité de proxy. C'est, en substance, un kit assez complet pour le mouvement latéral, la furtivité et l'exfiltration.
Un autre aspect pertinent de l'attaque est son caractère international et son orientation massive: l'appât montré aux victimes est situé dynamiquement dans 17 langues différentes, de sorte que le leurre est adapté au langage du navigateur et augmente la probabilité de tromperie. Les victimes identifiées par les chercheurs comprennent des établissements universitaires aux États-Unis aux utilisateurs des forums de langue chinoise, ce qui indique une campagne opportuniste à large portée géographique.
Les traces observées par Elastic coïncident également, en tactique et en infrastructure, avec une autre recherche publiée par Huntress qui décrit les campagnes ClickFix liées à l'utilisation du chargeur Matanbuchus 3.0 comme un pont vers le même type de RAT. Si vous souhaitez examiner des analyses supplémentaires et le contexte opérationnel, la page de recherche de Huntress contient des articles techniques et des exemples de détections : Chasseur - Blog.
Quel est l'agresseur après ? Bien qu'il ne soit pas toujours possible d'affirmer avec certitude l'intention finale, tous les éléments de l'attaque - la capacité d'établir des tunnels, d'opérer des jetons, d'exécuter des commandes arbitraires et de cacher des communications - correspondent aux objectifs typiques de l'ansomware ou de l'extraction de données de masse. Dans d'autres cas semblables, les acteurs ont utilisé l'accès initial pour déployer des charges destructrices ou canaliser de grandes quantités d'informations en dehors du réseau compromis.
Pour les organisations et les utilisateurs, les leçons sont claires et doivent être appliquées en priorité : se méfier des instructions qui demandent à copier et coller des commandes sur une console ou dans Exécuter, examiner l'intégrité des sites tiers utilisés comme services récurrents et renforcer la détection à la fin en surveillant les solutions qui surveillent les comportements anormaux, pas seulement les signatures. En outre, la protection des mécanismes que les attaquants cherchent à manipuler - comme ETW et AMSI - et la visibilité des processus qui effectuent des téléchargements exécutables ou l'injection de mémoire sont des éléments critiques de la défense. Pour mieux comprendre ce qu'est un RAT et pourquoi ils sont si dangereux, il est utile de consulter des ressources de référence comme le centre de menace Kaspersky: Kaspersky - Trojans d'accès à distance.
Les campagnes de cette nature révèlent deux réalités : les attaquants préfèrent exploiter la confiance que les gens placent dans les services légitimes et les défenses traditionnelles peut ne pas suffire si la chaîne d'attaque est lancée en mémoire et évite les signatures. La réponse exige à la fois des mesures techniques - surveillance du trafic crypté, segmentation du réseau, durcissement des paramètres et détection d'anomalies de processus - et des mesures organisationnelles qui réduisent le risque qu'un utilisateur exécute des commandes dangereuses. Le rapport Elastic fournit des indicateurs et des techniques qui peuvent aider à la détection et à la médiation; l'examen et la corrélation avec les dossiers internes constituent une bonne étape initiale pour toute équipe de sécurité.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...