Devis de remise multi-licences
Données concernant les menaces Outils d'administration à distance Logiciel malveillant EtherRAT

Logiciel malveillant EtherRAT

Par Mezo en Outils d'administration à distance, Menace persistante avancée (APT)
Se traduisent par :

Une campagne de menaces récemment découverte et liée à des opérateurs nord-coréens exploiterait une vulnérabilité critique de React2Shell (RSC) pour déployer un cheval de Troie d'accès à distance inédit, EtherRAT. Ce logiciel malveillant se distingue par l'intégration de contrats intelligents Ethereum dans son système de commande et de contrôle (C2), l'installation de plusieurs couches de persistance sous Linux et l'intégration de son propre environnement d'exécution Node.js lors du déploiement.

Liens vers les opérations en cours d’« entretiens contagieux ».

Les équipes de sécurité ont identifié de fortes similitudes entre l'activité d'EtherRAT et la campagne de longue durée appelée Contagious Interview, une série d'attaques actives depuis début 2025 et utilisant la technique EtherHiding pour la diffusion de logiciels malveillants.

Ces opérations ciblent généralement les développeurs blockchain et Web3 en dissimulant leurs intentions malveillantes derrière de faux entretiens d'embauche, des tests de programmation et des évaluations vidéo. Les victimes sont généralement contactées via des plateformes telles que LinkedIn, Upwork et Fiverr, où les attaquants se font passer pour des recruteurs légitimes proposant des offres d'emploi très intéressantes.

Les chercheurs notent que ce groupe de menaces est devenu l'une des forces malveillantes les plus productives au sein de l'écosystème npm, démontrant son aptitude à infiltrer les chaînes d'approvisionnement basées sur JavaScript et les flux de travail axés sur la cryptographie.

La faille initiale : Exploitation de React2Shell

La séquence d'attaque commence par l'exploitation de CVE‑2025‑55182, une vulnérabilité critique RSC avec un score de gravité parfait de 10. En utilisant cette faille, les attaquants exécutent une commande encodée en Base64 qui télécharge et déclenche un script shell responsable de l'initiation de l'implant JavaScript principal.

Le script est récupéré via curl, wget et python3 servant de méthodes de secours. Avant d'exécuter la charge utile principale, il prépare le système en téléchargeant Node.js v20.10.0 directement depuis nodejs.org, puis écrit sur le disque un bloc de données chiffré et un programme d'installation JavaScript obscurci. Afin de limiter les traces d'analyse forensique, le script s'efface une fois l'installation terminée et cède le contrôle au programme d'installation.

Livraison d’EtherRAT : Chiffrement, exécution et C2 des contrats intelligents

La fonction principale du dropper est simple : décrypter la charge utile EtherRAT à l’aide d’une clé codée en dur et la lancer avec le binaire Node.js fraîchement téléchargé.

La principale caractéristique d'EtherRAT réside dans son utilisation d'EtherHiding, une méthode qui récupère l'adresse du serveur C2 à partir d'un contrat intelligent Ethereum toutes les cinq minutes. Cela permet aux opérateurs de mettre à jour l'infrastructure en temps réel, même si les défenseurs perturbent les domaines existants.

L'originalité de cette implémentation réside dans son système de vote par consensus. EtherRAT interroge simultanément neuf points de terminaison RPC publics d'Ethereum, collecte les résultats et se fie à l'URL C2 renvoyée par la majorité. Cette approche neutralise plusieurs stratégies de défense, garantissant ainsi qu'un point de terminaison RPC compromis ou manipulé ne puisse ni induire en erreur ni anéantir le botnet.

Des chercheurs avaient déjà repéré une technique similaire dans les packages npm malveillants colortoolsv2 et mimelib2, qui étaient utilisés pour distribuer des composants de téléchargement aux développeurs.

Interrogation de commande à haute fréquence et persistance multicouche

Après avoir établi la communication avec son serveur C2, EtherRAT entame un cycle d'interrogation rapide s'exécutant toutes les 500 millisecondes. Toute réponse dépassant dix caractères est interprétée comme du JavaScript et exécutée instantanément sur le système compromis.

L’accès à long terme est maintenu grâce à cinq techniques de persistance, renforçant la fiabilité des différents processus de démarrage Linux :

Méthodes de persistance :

  • Service utilisateur Systemd
  • Entrée de démarrage automatique XDG
  • Tâches Cron
  • modification du fichier .bashrc
  • Injection de profil

En se propageant sur plusieurs chemins d'exécution, le logiciel malveillant continue de fonctionner même après les redémarrages, garantissant un accès ininterrompu aux opérateurs.

Stratégie d’auto-mise à jour et d’obfuscation

EtherRAT intègre un processus de mise à jour sophistiqué : il envoie son propre code source à une API, reçoit une version modifiée du serveur C2 et se relance avec cette nouvelle variante. Bien que la mise à jour soit fonctionnellement identique, la charge utile renvoyée est obfusquée différemment, ce qui permet à l’implant de contourner les techniques de détection statique.

Le code présente des similitudes avec d’anciennes familles de menaces JavaScript.

Une analyse plus approfondie révèle que certaines parties du chargeur chiffré d'EtherRAT présentent des similitudes avec BeaverTail, un outil de téléchargement et de vol d'informations connu, basé sur JavaScript et utilisé lors des opérations Contagious Interview. Ceci conforte l'hypothèse selon laquelle EtherRAT est soit un successeur direct, soit une extension des outils utilisés lors de cette campagne.

Implications pour les défenseurs : un virage vers la furtivité et la persistance

EtherRAT illustre une évolution significative dans l'exploitation de React2Shell. Au lieu de se concentrer uniquement sur des activités opportunistes comme le minage de cryptomonnaies ou le vol d'identifiants, cet implant privilégie un accès furtif et durable. Son système combinant opérations C2 pilotées par contrats intelligents, vérification des terminaux par consensus, multiples couches de persistance et auto-obfuscation continue représente un défi de taille pour les équipes de défense.

Points clés à retenir pour les équipes de sécurité

Les équipes de sécurité doivent prendre en compte qu'EtherRAT représente une escalade significative dans l'exploitation des vulnérabilités RSC, la transformant en une menace persistante et hautement adaptable, capable de mener des intrusions de longue durée. Son infrastructure de commande et de contrôle est particulièrement résiliente, s'appuyant sur les contrats intelligents Ethereum et un mécanisme de consensus multi-terminal pour résister aux tentatives de détournement de ressources, aux attaques par neutralisation et à la manipulation de terminaux individuels. De plus, l'étroite association de ce logiciel malveillant avec la campagne Contagious Interview souligne l'intérêt constant porté aux développeurs de haut niveau, mettant en évidence la nécessité d'une vigilance accrue au sein des communautés de développement blockchain et Web3.

Tendance

Arnaque à la demande d'annulation de votre compte de...

Hameçonnage, Courrier indésirable
Les cybercriminels continuent de concevoir des messages trompeurs imitant les notifications de service habituelles, et l'arnaque « Demande de suppression de votre compte de messagerie » en est un exemple flagrant. Bien que ces courriels puissent paraître urgents ou officiels, ils font partie d'une stratégie d'hameçonnage visant à collecter des informations sensibles. Ils ne sont liés à aucune...

Le plus regardé

Chargement...