Depuis la fin de 2023, des chercheurs d'Elastic Security Labs ont documenté une opération économiquement motivée qui utilise de faux installateurs pour introduire à la fois l'équipement minier de trojan à distance (RAT) et de cryptomonéda. Sous le nom clé REF1695, la campagne se distingue par la combinaison de l'ingénierie sociale classique avec des techniques dédiées à la défense des systèmes d'esquive et à la maximisation des performances des mines, ainsi que par la monétisation des infections par la fraude CPA qui amènent les victimes aux pages du « casier de contenu ». Pour ceux qui s'intéressent à la recherche originale et à l'analyse technique, les informations générales des équipes de sécurité Elastic sont disponibles à l'adresse suivante: Élastique et les communiqués de votre équipe de sécurité.
La chaîne d'infection que les analystes décrivent fait partie d'un leurre très traditionnel: un fichier ISO que l'utilisateur roule en croyant contenir un installateur légitime. Au sein de l'ISO est un chargeur protégé .NET Reactor et un fichier texte avec des instructions explicites pour la victime d'éviter les avertissements de Microsoft Defender SmartScreen. Ces indications demandent à l'utilisateur de cliquer sur "Plus d'informations" puis sur "Run de toute façon", ce qui fait tourner l'application non reconnue. La documentation officielle de Microsoft sur SmartScreen explique pourquoi ces protections apparaissent et les risques qu'elle comporte pour les ignorer; il devrait être examiné dans Microsoft Defender SmartScreen.
Le chargeur, conçu pour invoquer PowerShell, fait deux actions critiques : il établit de larges exclusions dans Microsoft Defender Antivirus afin que les échantillons ne soient pas détectés et commence en arrière-plan un implant .NET récemment observé et baptisé par des chercheurs comme CNB Bot. On montre aux utilisateurs un écran d'erreur destiné à justifier l'échec : un message qui suggère que le système « ne répond pas aux spécifications » et mène au support de contact, de sorte que la victime ne soupçonne pas l'activité en arrière-plan.
CNB Bot agit comme un chargeur modulaire: vous pouvez télécharger et exécuter des charges supplémentaires, vous mettre à jour et aussi désinstaller et supprimer des traces pour rendre l'analyse difficile. Votre communication avec le serveur de commande et de contrôle (C2) est faite par les requêtes HTTP POST, une méthode simple mais efficace pour échanger des instructions et des binaires dans les campagnes à grande échelle.
En plus de CNB Bot, Elastic documente des variantes du même leurre ISO qui ont servi à déployer des familles de malware comme PureRAT et PureMiner, et un chargeur basé sur .NET pour XMRig qui consulte une URL fixe pour obtenir ses paramètres de mine. Un aspect particulièrement inquiétant de ces campagnes est l'abus de contrôleurs de noyau légitimes et signés, en particulier des variantes telles que WinRing0x64.sys ou Winring0.sys, qui permettent l'accès au niveau du noyau pour ajuster les paramètres CPU et augmenter le taux de hachage minier. L'utilisation de ce type de pilotes comme levier pour améliorer les performances dans la cryptominerie malveillante n'est pas nouvelle : XMRig a intégré des capacités connexes en décembre 2019 et depuis lors différents acteurs les ont utilisés pour presser les ressources des machines infectées. Pour mieux comprendre les implications de la modification des défenses ou de l'abus des conducteurs, la taxonomie des techniques MITRE ATT & CK offre un contexte utile dans MITRE ATT & CK - Défenses contre les impairs.
Un autre élément observé dans les opérations de REF1695 est SilentCryptoMiner, un mineur qui prend des mesures supplémentaires pour simuler les détections et maximiser le temps de disponibilité: il utilise des appels directs vers le système (syscalls) pour éviter les crochets de sécurité, empêche Windows d'entrer dans les modes de suspension ou d'hibernation, établit la persistance par des tâches programmées et utilise des contrôleurs au niveau du noyau pour optimiser la configuration du processeur. Pour s'assurer que l'activité minière n'est pas interrompue, les exploitants intègrent également un processus de « veille » qui restaure les artefacts et les mécanismes de persistance s'ils sont éliminés.
Quant à la récompense économique, l'acteur semble obtenir un rendement constant : Elastic estime que 27,88 XMR ont été transférés, soit environ 9 400 $ au changement de référence, répartis en quatre portefeuilles qu'ils ont pu tracer. Ce chiffre reflète le fait que, bien qu'elle ne soit pas nécessairement massive par rapport aux autres opérations criminelles, la campagne est rentable et durable.
Un détail opérationnel qui mérite d'être souligné est l'utilisation de plates-formes fiables comme substitut à sa propre infrastructure. Les chercheurs ont observé que les auteurs hébergent des étapes binaires dans les comptes GitHub pour servir de CDN. Cette stratégie réduit les frictions de détection car les domaines et serveurs de GitHub jouissent souvent d'une bonne réputation et passent des filtres moins stricts que les infrastructures entièrement contrôlées par les attaquants. GitHub a publié des guides et des politiques sur l'utilisation correcte de ses services; en tout cas, l'abus de plates-formes légitimes est déjà une tendance récurrente dans la criminalité économique moderne.
Quelle lecture reste-t-il pour les administrateurs et les utilisateurs ? La combinaison de leurres convaincants, d'abus de fonctions système et de l'utilisation de services légitimes montre que la défense doit être multiple et critique avec les propres actions de l'utilisateur. Évitez de monter ou d'exécuter des images ISO non vérifiées, méfiez-vous des instructions qui demandent à éviter les avertissements de sécurité, appliquez des politiques restrictives sur l'exécution de scripts et sur l'installation de contrôleurs de noyau, et surveillez à la fois l'utilisation anormale de CPU et les connexions HTTP sortantes vers des serveurs inconnus sont des mesures qui réduisent significativement le risque. Il est également recommandé de vérifier les comptes de GitHub et d'autres plateformes où des binaires peuvent être hébergés, ainsi que d'appliquer des règles qui inspectent et bloquent les téléchargements à partir de dépôts non approuvés.
La campagne REF1695 rappelle que les acteurs motivés par l'argent combinent ingénierie sociale et techniques d'accès, de persistance et de performance. La meilleure défense reste un mélange de sensibilisation de l'utilisateur, la maintenance des contrôles de sécurité à jour et des capacités de détection qui peuvent identifier à la fois le comportement anormal du système ( pics CPU, exclusions antivirus, tâches suspectes programmées) et l'abus des services de livraison de logiciels malveillants légitimes. Pour ceux qui veulent approfondir les outils miniers et leurs implémentations, le dépôt officiel XMRig fournit un contexte technique sur le logiciel qui est souvent réutilisé par des acteurs malveillants: XMRig dans GitHub. Si vous souhaitez connaître en détail les techniques d'utilisation et d'emballage en .NET, la solution commerciale . Le réacteur NET utilisé par certaines attaques peut être consulté à Eziriz - Réacteur .NET.
En bref, REF1695 n'introduit pas une technique totalement nouvelle, mais elle reflète l'efficacité de combiner les astuces d'ingénierie sociale avec l'abus de système de bas niveau et l'utilisation d'infrastructures de « confiance » pour maintenir des opérations lucratives et durables. La réponse passe par les couches de protection technique, les politiques de contrôle logiciel et, peut-être plus important, les utilisateurs formés à ne pas exécuter aveugle ce qui apparaît comme "installateur" dans un fichier qui ne provient pas d'une source vérifiée.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...