Dans les dernières recherches sur la cybersécurité, un modèle déjà connu mais constamment affiné a été révélé: les organisations et entités de défense alignées avec le gouvernement de l'Inde sont ciblées par des campagnes d'espionnage numérique qui cherchent à engager les systèmes Windows et Linux. Les attaquants utilisent des outils d'accès à distance - appelés RAT - qui permettent d'exfiltration de l'information pour rester silencieux sur les machines infectées pendant de longues périodes.
Parmi les familles de malware identifiées par les analystes sont des noms tels que Geta RAT, Ares RAT et Deskrat. Ces pièces ne fonctionnent pas isolément : elles sont associées à des amas de menaces d'affinité pakistanaise, identifiées dans la communauté comme la tribu transparente (également appelée APT36) et SideCopy, cette dernière évaluée par certaines équipes comme une subdivision qui opère sur la même orbite depuis des années. Pour d'autres lectures et analyses techniques, il convient de consulter les rapports de ceux qui ont publié ces observations et les commentaires des équipes spécialisées. sur le blog d'Aryaka et d'autres signatures qui suivent ces acteurs.
La porte d'entrée préférée reste l'ingénierie sociale: phishing emails avec des attaches malveillantes ou des liens vers des serveurs contrôlés par les attaquants. De là, les chaînes d'infection sont déployées en plusieurs étapes qui combinent de vieilles astuces et de nouvelles adaptations. Un exemple de chaîne observée est un accès initial par un fichier LNK (accès direct Windows) qui invoque mshta.exe pour exécuter un fichier HTA hébergé dans des domaines compromis légitimes. Que HTA peut contenir JavaScript qui déchiffre et charge une DLL intégrée; la DLL traite les données emballées, laisse un document de leurre (comme un PDF) sur disque, établit la communication avec un serveur de contrôle et de contrôle (C2) et montre à l'utilisateur le leurre pour éviter de soulever la suspicion.
Ce genre de sophistication n'est pas occasionnel. L'utilisation de leurres qui présentent des documents plausibles, la préférence pour une infrastructure fiable dans la région et l'adaptation automatique de la méthode de persistance en fonction de la présence de solutions de sécurité sont des ressources qui aident l'acteur à fonctionner « sous le bruit », réduisant la probabilité de détection par les administrateurs et les outils automatiques. Pour voir des exemples de campagnes et d'analyses techniques supplémentaires, il existe des ressources publiques provenant d'équipes de recherche et d'entreprises dédiées à la cybersécurité comme CYFIRMA ou pages de laboratoires spécialisés comme Seqrite Labs. En outre, le chercheur qui a diffusé des chaînes d'attaques spécifiques a partagé des conclusions sur les réseaux sociaux et les plateformes techniques ( publication).
En termes de capacités, Geta RAT présente une longue liste de fonctions conçues pour la télécommande et l'exfiltration : collecte d'informations système, listage de processus et d'applications, achèvement de processus spécifique, vol d'identification, traitement de presse, capture d'écran, opérations de fichiers, exécution de commandes arbitraires et extraction de données à partir de périphériques USB connectés. Autrement dit, il sert non seulement à observer et à déplacer les données, mais aussi à maintenir et à étendre la présence de l'attaquant dans l'environnement compromis.
Parallèlement à la variante Windows, les campagnes se déplacent également sous Linux. Là, les adversaires ont utilisé des binaires écrits en Go comme une phase initiale pour déployer un RAT dans Python - Ares RAT - à travers des scripts téléchargés à partir de serveurs externes. Ares offre des fonctionnalités similaires: collecte de données, exécution à distance de scripts et de commandes, et la possibilité d'adapter l'opération en fonction du contexte de la machine attaquée. Dans un autre vecteur documenté, Deskrat (un autre malware développé dans Golang) a été distribué par des suppléments PowerPoint malveillants qui exécutent des macros pour récupérer et lancer l'échantillon final du réseau.
Il en résulte un écosystème d'outils et de chaînes d'exploitation qui mettent l'accent sur la persistance, la traçabilité et la couverture multiplateforme. Des rapports publiés par plusieurs laboratoires de sécurité montrent comment ces familles et ces techniques ont évolué : de la réutilisation de l'infrastructure compromise à l'engagement en faveur des accusations de mémoire et des exécutions indirectes qui rendent leur traçabilité difficile. Afin d'approfondir la technique et de corréler les indicateurs d'engagement, il convient d'examiner les sources spécialisées et les bases de connaissances publiques sur les tactiques et les procédures, telles que celles fournies par le cadre MITRE ATT & CK. sur votre portail.
Quelles leçons cela laisse-t-il aux organisations et aux responsables de la sécurité? Premièrement, que la surface de l'attaque reste humaine: l'entraînement visant à reconnaître les leurres crédibles et la vérification des expéditeurs doit être une priorité. Deuxièmement, les défenses techniques nécessitent une combinaison de mesures : filtrer et bloquer les pièces suspectes (en particulier LNK, HTA et macros dans les documents), limiter l'utilisation d'outils système qui se prêtent à l'exécution indirecte (comme mshta.exe), déployer des solutions EDR / AV qui détectent des comportements anormaux, et surveiller le trafic sortant à la recherche de connexions C2 atypiques. Les entités publiques compétentes et les équipes d'intervention en cas d'incident disposent de guides et d'alertes pour aider à mettre en œuvre des mesures d'atténuation spécifiques; les ressources utiles comprennent les portails des équipes d'intervention et des organismes nationaux et internationaux de cybersécurité en tant que CISA ou CERT-In de l'Inde.
Il ne s'agit pas seulement d'une question technique : lorsque l'activité est alignée sur des intérêts géostratégiques, la menace est concentrée sur des secteurs très spécifiques et les attaquants investissent dans l'amélioration des leurres et le maintien d'un accès à long terme. C'est pourquoi la réponse doit être stratégique et soutenue : partager le renseignement entre les entités, coordonner les blocs d'infrastructures malveillantes et effectuer des audits constants des systèmes critiques. Les rapports et analyses collectifs - des entreprises privées et des laboratoires universitaires - permettent de mieux cartographier l'adversaire et d'anticiper son prochain mouvement; en ce sens, l'analyse des entreprises spécialisées et des laboratoires est recommandée aux décideurs techniques.
Bref, les campagnes qui ont exposé Geta RAT, Ares RAT et DeskrAT se souviennent que le cyberespionnage demeure une menace vivante et adaptable. Les outils changent et seront perfectionnés, mais les signaux de prévention ne sont pas nouveaux : sensibilisation, contrôles techniques robustes, visibilité du réseau et collaboration public-privé sont les meilleurs obstacles pour minimiser l'impact et réduire la fenêtre de performance de l'agresseur. Pour ceux qui veulent consulter l'analyse technique et les notes d'avertissement, ils peuvent commencer par les publications des entreprises qui ont enquêté sur ces incidents et les ressources des agences de cybersécurité mentionnées ci-dessus ( Aryaka, CYFIRMA, Laboratoires Seqrit, SEKOIA et dépôts de référence en tant que MITRE ATT & CK).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...