Devis de remise multi-licences
Données concernant les menaces Portes dérobées Dohdoor Backdoor

Dohdoor Backdoor

Par Mezo en Portes dérobées, Menace persistante avancée (APT)
Se traduisent par :

Un ensemble d'activités malveillantes jusqu'alors non documentées a été lié à une campagne malveillante en cours ciblant les secteurs de l'éducation et de la santé aux États-Unis depuis au moins décembre 2025. Les chercheurs en sécurité suivent cette activité sous la désignation UAT-10027. L'objectif principal de la campagne est de déployer une porte dérobée nouvellement identifiée, connue sous le nom de Dohdoor.

Plusieurs établissements d'enseignement ont déjà été compromis, dont une université connectée à plusieurs établissements affiliés, ce qui laisse présager une surface d'attaque potentiellement plus étendue. Un établissement de soins gériatriques a également été identifié comme victime, soulignant le ciblage sectoriel de l'opération.

Chaîne d'infection et déploiement de logiciels malveillants

Bien que le vecteur d'accès initial précis reste indéterminé, les enquêteurs soupçonnent que la campagne commence par des tactiques d'hameçonnage basées sur l'ingénierie sociale qui déclenchent finalement l'exécution d'un script PowerShell malveillant.

La séquence d'infection se déroule en plusieurs étapes :

  • Le script PowerShell récupère et exécute un fichier batch Windows depuis un serveur de préproduction distant.
  • Le fichier batch télécharge ensuite un fichier DLL malveillant, généralement nommé « propsys.dll » ou « batmeter.dll ».
  • La DLL, identifiée comme Dohdoor, est exécutée via un chargement latéral de DLL utilisant des binaires Windows légitimes tels que 'Fondue.exe', 'mblctr.exe' ou 'ScreenClippingHost.exe'.
  • Une fois activée, la porte dérobée charge directement en mémoire une charge utile secondaire et l'exécute ; celle-ci est identifiée comme une balise de frappe au cobalt.

Cette chaîne d'exécution à plusieurs niveaux démontre des efforts délibérés pour intégrer des composants malveillants à des processus système de confiance afin d'échapper à la détection.

Infrastructure de commandement et de contrôle secrète

Dohdoor exploite le DNS sur HTTPS (DoH) pour gérer les communications de commande et de contrôle (C2). En chiffrant les requêtes DNS au sein du trafic HTTPS, le logiciel malveillant dissimule ses communications dans un trafic web chiffré en apparence légitime.

L'attaquant masque davantage l'infrastructure en faisant transiter les serveurs C2 par le réseau de Cloudflare. De ce fait, les communications sortantes des systèmes compromis apparaissent comme du trafic HTTPS standard dirigé vers une adresse IP publique de confiance.

Cette approche contourne efficacement les mécanismes de défense traditionnels, notamment :

  • Systèmes de détection basés sur le DNS et puits de DNS
  • Outils de surveillance réseau qui signalent les recherches de domaine suspectes
  • Les solutions d'analyse de trafic classiques s'appuient sur des requêtes DNS visibles

    • Outre les techniques d'évasion réseau, Dohdoor désactive activement les appels système dans NTDLL.dll afin de contourner les solutions de détection et de réponse aux incidents (EDR) qui reposent sur la surveillance des API en mode utilisateur. Cette fonctionnalité réduit considérablement la probabilité de détection comportementale au niveau du terminal.

    Objectifs opérationnels et motivation financière

    À l'heure actuelle, aucune preuve confirmée d'exfiltration de données n'a été identifiée. Hormis le déploiement de Cobalt Strike Beacon comme charge utile de suivi, aucun autre logiciel malveillant de phase finale n'a été observé.

    Malgré l'absence, à ce jour, d'attaques de type ransomware ou de vols de données, les analystes estiment que la campagne est vraisemblablement motivée par des raisons financières. Cette conclusion repose sur le profil des victimes et le déploiement d'outils généralement associés aux techniques de post-exploitation utilisées dans les intrusions à visée lucrative.

    Analyse d'attribution et chevauchements nord-coréens

    L'identité du groupe à l'origine du logiciel malveillant UAT-10027 demeure inconnue. Cependant, des chercheurs ont identifié des similitudes tactiques entre Dohdoor et LazarLoader, un téléchargeur précédemment attribué au groupe de cybercriminels nord-coréen Lazarus.

    Bien qu'il existe des similitudes techniques avec les logiciels malveillants liés à Lazarus, l'accent mis par cette campagne sur l'éducation et la santé diffère du ciblage traditionnel de Lazarus, qui visait les plateformes de cryptomonnaies et les entités liées à la défense.

    Néanmoins, l'activité passée des acteurs nord-coréens de menaces persistantes avancées (APT) révèle des similitudes partielles dans leurs cibles. Par exemple, des opérateurs nord-coréens ont déployé le ransomware Maui contre des organismes de santé, et le groupe Kimsuky a ciblé des établissements d'enseignement. Ces précédents mettent en évidence des recoupements thématiques avec le profil de ciblage d'UAT-10027, bien qu'aucune attribution définitive n'ait été établie.

    La combinaison de techniques d'évasion sophistiquées, d'un ciblage sectoriel sélectif et d'une dissimulation des infrastructures fait d'UAT-10027 une menace importante et évolutive nécessitant une vigilance accrue dans tous les secteurs de services critiques.

    Tendance

    Le plus regardé

    Chargement...