Les équipes d'intervention en cas d'incident de l'Ukraine ont récemment identifié une nouvelle famille de logiciels malveillants qui ont baptisé comme Vieillissement, déployés dans des campagnes dirigées contre les autorités locales et les centres de santé. Selon le rapport public du CERT-UA, les intrusions n'ont pas seulement cherché à obtenir de l'information institutionnelle : les preuves médico-légales suggèrent qu'il y a eu également des tentatives d'engagement du personnel associé aux Forces de défense.
Le point d'entrée est classique mais efficace : un courriel qui simule une offre d'aide humanitaire et comprend un lien pour « plus d'informations ». Ce lien peut conduire à un site légitime qui a été précédemment violé par l'inscription croisée (XSS) ou une fausse page créée par des outils d'intelligence artificielle. L'objectif est d'inciter l'utilisateur à télécharger un fichier compressé contenant un accès direct (LNK) qui, lorsqu'il est activé, invoque le gestionnaire HTA intégré à Windows.
Le fichier HTA est téléchargé et exécuté à partir d'une ressource distante, affiche un formulaire de distraction pour éviter de soulever des soupçons et crée une tâche programmée dont le but est de récupérer et de lancer un exécutable. Cette EXE injecte shellcode dans un processus légitime et cède la place à un chargeur en deux étapes : la seconde phase utilise un format exécutable personnalisé et la charge utile finale arrive compressée et cryptée.
Pour établir la communication avec leurs opérateurs, les attaquants ont utilisé des techniques de "staging" : les empileurs de shell inversé basés sur TCP (CERT-UA mentionne des équivalents RAVENSHELL) et un canal chiffré avec XOR vers un serveur de commande et de contrôle (C2) pour exécuter des commandes via l'interpréteur de commande Windows. En outre, les opérateurs utilisent un script PowerShell appelé SILENTLOOP qui contrôle l'exécution des commandes, met à jour les configurations et obtient l'adresse C2 d'un canal Telegram ou de mécanismes de réservation.
La charge finale, VieillirFly, est écrite en C # et fournit la télécommande, l'exécution de commandes, l'exfiltration de fichiers, la capture d'écran, le journal des clés et la possibilité d'exécuter un code arbitraire. Une particularité pertinente est que les logiciels malveillants ne stockent pas leurs gestionnaires de commandes en interne: au lieu de les inclure, il les récupère comme code source à partir du serveur C2 et les compile à la machine victime dans le temps de fonctionnement. Comme CERT-UA Cette stratégie réduit la taille de la charge utile initiale et permet aux attaquants de modifier ou d'élargir les fonctionnalités à la demande, bien qu'au prix de dépendre de la connectivité au C2 et d'augmenter l'empreinte en temps d'exécution.
Dans plusieurs des intrusions analysées, le responsable a également supprimé les pouvoirs et les données de navigation. Ils ont profité des outils médico-légaux open source qui pourraient extraire et déchiffrer les informations stockées par les navigateurs basés sur le chrome, tels que les cookies et les mots de passe enregistrés, sans privilèges administratifs. De même, ils ont essayé de récupérer des données de l'application WhatsApp pour Windows via des utilitaires qui vous permettent de déchiffrer vos bases de données locales.
L'acteur derrière ces opérations ne se limitait pas au vol de lettres de créances : il effectuait des activités de reconnaissance et de mouvement latéral au sein des réseaux engagés. Pour ces phases, il a utilisé des outils publics bien connus dans la communauté, y compris des scanners portuaires et des solutions de tunnelage qui facilitent l'accès et le réexpédition du trafic vers des serveurs en dehors du réseau cible. Dépôts publics RustScan, Ligolo-ng et ragots sont des exemples de projets qui, bien que légitimes, peuvent être utilisés à ces fins entre les mains d'acteurs malveillants.
Le CERT-UA a attribué ces campagnes à un groupe de menaces qu'il enregistre comme UAC-0247 et a publié des indications techniques et des mesures d'atténuation. Il s'agit notamment d'une recommandation explicite de bloquer l'exécution des fichiers LNK, HTA et JS comme mesure d'interruption de la chaîne d'attaque utilisée par ces opérateurs.
Au-delà du blocage des types de fichiers, il existe des mesures pratiques qui réduisent les risques : activer l'authentification multifactorielle dans tous les comptes, faire pivoter les mots de passe exposés, limiter les privilèges locaux, revoir et restreindre les tâches programmées, surveiller les connexions sortantes inhabituelles et utiliser des solutions EDR qui détectent les injections de processus ou les compilations dynamiques. Les organisations devraient également renforcer l'hygiène du courrier électronique avec le filtrage des liens et des boîtes à sable et maintenir des programmes de sensibilisation pour le personnel afin d'identifier les signes comme des offres d'aide ou des fichiers compressés inattendus.
Si vous cherchez des références à approfondir, vous pouvez lire l'avis technique CERT-UA où les indicateurs et les tactiques sont détaillés: CERT-UA: Vieillissement Rapport de vol. Pour les guides d'atténuation et les règles applicables dans les environnements Windows, il convient d'examiner la documentation de Microsoft sur la réduction de surface d'attaque et les règles ASR, qui permettent de bloquer l'exécution de types de fichiers dangereux: Microsoft Defender - Réduction de surface d'attaque. Pour ce qui est des meilleures pratiques contre l'hameçonnage, l'organisme de la CISA maintient des recommandations pratiques et des ressources de formation : CISA - Conseils de sécurité et alertes.
Le cas de AgingFly rappelle deux leçons importantes : la première, que de nombreuses chaînes d'intrusion commencent par des techniques d'ingénierie sociale très simples; la seconde, que les développements libres légitimes et les outils de gestion peuvent être réutilisés par les attaquants à des fins d'espionnage ou de sabotage. Dans ce contexte, la combinaison des contrôles techniques, de la visibilité continue et de la formation du personnel reste la défense la plus efficace pour les organisations ayant des profils sensibles tels que les administrations locales et les hôpitaux.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...