Porte dérobée du CABINETRAT
Des chercheurs en sécurité informatique ont publié une alerte concernant une campagne ciblée observée en septembre 2025, installant une porte dérobée en langage C identifiée comme CABINETRAT. Selon l'équipe ukrainienne d'intervention d'urgence informatique (CERT-UA), l'activité est attribuée à un cluster identifié (UAC-0245), après que les analystes ont découvert des modules complémentaires Microsoft Excel piratés (fichiers XLL) utilisés dans la chaîne d'attaque.
Table des matières
Fichiers ZIP et faux document de police
Selon les rapports, les attaquants ont intégré les fichiers XLL malveillants dans des archives ZIP et les ont distribués via l'application de messagerie Signal, se faisant passer pour un document relatif à des détentions à la frontière ukrainienne. Lorsqu'une victime extrait et ouvre le fichier XLL, la séquence de dépôt commence.
Ce que crée le compte-gouttes
Plusieurs fichiers sont générés sur les systèmes compromis, notamment :
- un EXE placé dans le dossier de démarrage de Windows
- un XLL nommé BasicExcelMath.xll dans %APPDATA%\Microsoft\Excel\XLSTART\
- un PNG nommé Office.png qui contient en fait du shellcode intégré
Ces fichiers sont créés sur l'hôte dans le cadre de la persistance et de la préparation de la charge utile.
Comment la charge utile est activée
Le XLL implanté configure les entrées de Registre pour garantir l'exécution du fichier EXE au démarrage, puis lance Excel (excel.exe) avec le commutateur /e (incorporer) en mode caché afin que le module complémentaire se charge silencieusement. Le XLL chargé extrait le shellcode dissimulé dans l'image PNG associée ; ce shellcode est l'implant CABINETRAT. Les directives de Microsoft indiquent que les modules complémentaires XLL non fiables sont fréquemment utilisés abusivement par les acteurs malveillants, et les versions modernes d'Excel bloquent par défaut les XLL non fiables. Cependant, l'ingénierie sociale et l'approbation des utilisateurs peuvent toujours permettre leur exécution.
Anti-analyses et mesures sandbox
Le chargeur XLL et le shellcode en mémoire effectuent tous deux des vérifications anti-VM et anti-analyse. Parmi les exemples observés dans les échantillons, on peut citer la vérification de la présence d'au moins deux cœurs de processeur, la vérification d'au moins 3 Go de RAM et la recherche d'artefacts de virtualisation ou d'analyse (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Ces vérifications visent à interrompre ou à modifier le comportement dans les environnements de laboratoire/bac à sable et à réduire le risque de détection.
Les capacités malveillantes du CABINETRAT
CABINETRAT est une porte dérobée complète écrite en C. Ses fonctionnalités documentées incluent : l'énumération du système (informations sur le système d'exploitation et le matériel), la liste des applications installées, la capture d'écran, l'énumération des répertoires, la suppression de fichiers ou de dossiers spécifiés, l'exécution de commandes arbitraires et le téléchargement de fichiers. Les communications réseau s'effectuent via un canal TCP vers l'infrastructure de commande et de contrôle (C2) distante, permettant aux opérateurs d'interagir avec les hôtes infectés.
Campagnes similaires contre l’Ukraine
Cette révélation fait suite à d'autres campagnes très ciblées contre des entités ukrainiennes. Des chercheurs ont récemment signalé une autre opération d'hameçonnage sans fichier, usurpant l'identité de la Police nationale ukrainienne et diffusant des charges utiles telles qu'Amatera Stealer (vol de données) et PureMiner (cryptomining), illustrant l'utilisation simultanée de multiples vecteurs et familles de logiciels malveillants contre des organisations de la région.
Surveiller, isoler, remédier
Compte tenu du caractère actif et ciblé de cette campagne et des tactiques anti-analyse des opérateurs, les défenseurs doivent présumer que toute archive suspecte transmise par Signal et contenant des compléments Office est potentiellement malveillante. Privilégiez le confinement des hôtes suspects, collectez les artefacts volatiles (listes de processus, mémoire, connexions réseau) et partagez les indicateurs confirmés avec le CERT-UA ou votre CSIRT local afin de cartographier et de perturber les opérations de l'acteur.
