Logiciel malveillant DslogdRAT
Fin 2024, des experts en cybersécurité ont découvert un nouveau cheval de Troie d'accès à distance (RAT) baptisé DslogdRAT, installé sur des appareils Ivanti Connect Secure (ICS) compromis. Les acteurs malveillants ont exploité une vulnérabilité zero-day critique, identifiée comme CVE-2025-0282, qui permettait l'exécution de code à distance sans authentification. Ivanti a traité cette vulnérabilité début janvier 2025, mais pas avant que des organisations japonaises aient été sélectionnées.
Table des matières
Ouverture de la porte : accès initial via Web Shell
La première action des attaquants a consisté à déployer un shell web léger, basé sur Perl, déguisé en script CGI. Cette porte dérobée a été vérifiée à la recherche d'une valeur de cookie spécifique, DSAUTOKEN=af95380019083db5, avant l'exécution des commandes. Grâce à cet accès, les attaquants ont pu lancer d'autres logiciels malveillants, notamment DslogdRAT.
Sous le radar : le flux d’attaque en plusieurs étapes de DslogdRAT
DslogdRAT fonctionne grâce à un processus intelligent en plusieurs étapes pour échapper à la détection :
Étape 1 : le processus principal génère un processus enfant chargé de décoder les données de configuration et de lancer un deuxième processus principal.
Étape 2 : un processus parent persistant reste actif, incorporant des intervalles de veille pour minimiser le risque de détection.
Étape 3 : Le deuxième processus enfant initie les fonctionnalités principales de RAT, notamment la communication système et l’exécution des commandes.
Cette architecture garantit la résilience et la furtivité, ce qui rend difficile pour les défenseurs de découvrir et de mettre fin aux logiciels malveillants.
Conversations secrètes : techniques de communication personnalisées
La communication avec le serveur de commande et de contrôle (C2) s'effectue via des sockets, à l'aide d'un schéma de codage personnalisé basé sur XOR. Les messages codés incluent les empreintes système critiques et respectent un format de communication strict.
DslogdRAT prend en charge plusieurs fonctionnalités clés :
- Téléchargement et chargement de fichiers
- Exécution de commandes Shell
- Configuration d'un proxy pour acheminer le trafic malveillant
Ces capacités permettent aux attaquants de maintenir un contrôle ferme sur les systèmes infectés et de s’infiltrer plus profondément dans les réseaux.
Heures d’ouverture uniquement : tactiques astucieuses pour éviter d’être détecté
Une caractéristique inhabituelle de DslogdRAT est son planning opérationnel intégré : il ne fonctionne qu'entre 8 h et 20 h. En dehors de ces heures, il reste inactif, reproduisant les habitudes d'activité des utilisateurs et minimisant le risque de détection en dehors des heures de pointe.
Plus d’une menace : découverte de SPAWNSNARE
Outre DslogdRAT, un autre malware nommé SPAWNSNARE a été détecté sur les systèmes affectés. Bien qu'il soit difficile de déterminer si ces malwares font partie de la même campagne ou sont directement liés au groupe UNC5221, leur présence simultanée suggère des activités coordonnées par des acteurs malveillants sophistiqués.
Une menace croissante : de nouveaux exploits en 2025
En avril 2025, des chercheurs en sécurité ont révélé qu'une autre vulnérabilité, CVE-2025-22457, avait également été exploitée pour déployer un logiciel malveillant. Cette nouvelle campagne a été attribuée à UNC5221, un groupe de pirates informatiques chinois présumé. Cependant, les experts enquêtent toujours pour déterminer si cette activité est liée aux précédentes attaques impliquant la famille de logiciels malveillants SPAWN.
