Porte dérobée FlutterShell macOS
Des chercheurs en cybersécurité ont mis au jour une vaste opération de malvertising sur macOS, baptisée Opération FlutterBridge, responsable de la diffusion d'une nouvelle porte dérobée nommée FlutterShell. Cette campagne représente la dernière évolution d'un ensemble de menaces précédemment associé à JSCoreRunner (également connu sous le nom de FileRipple), une activité malveillante documentée pour la première fois en août 2025.
Le groupe cybercriminel à l'origine des deux chaînes d'attaques est identifié sous le nom de CL-CRI-1089 et serait actif depuis au moins 2023. Les analystes de sécurité considèrent FlutterShell comme une avancée significative dans les capacités et l'infrastructure du groupe.
Table des matières
Des logiciels publicitaires aux fonctionnalités de porte dérobée complètes
Développé à l'aide du framework Flutter de Google, FlutterShell est diffusé via des applications de bureau malveillantes qui semblent initialement légitimes. Bien que ce logiciel malveillant intègre des fonctionnalités publicitaires, ses capacités vont bien au-delà de la simple diffusion de publicités indésirables.
Le logiciel malveillant peut :
- Exécuter des commandes shell arbitraires sur les systèmes infectés.
- Interagir avec les fichiers et les manipuler au sein du système de fichiers.
- Exfiltrer les variables d'environnement et les informations système.
- Effectuer une empreinte système.
- Voler les données de session du navigateur.
Des chercheurs ont observé des activités malveillantes impliquant FlutterShell jusqu'en mars 2026, ce qui indique que la campagne est toujours active.
Un écosystème de logiciels malveillants en pleine expansion lié à TamperedChef
FlutterShell n'est pas une menace isolée. Les opérations attribuées à CL-CRI-1089 incluent également Recipe Lister et Calendaromatic, tous deux associés à la campagne plus vaste TamperedChef, également connue sous le nom d'EvilAI.
Les campagnes de TamperedChef utilisent des applications de productivité infectées par un cheval de Troie pour diffuser des programmes potentiellement indésirables (PPI) et des logiciels publicitaires. Ces applications malveillantes sont promues par le biais de campagnes publicitaires trompeuses conçues pour convaincre les utilisateurs qu'ils téléchargent des logiciels légitimes.
Publicité malveillante orchestrée par des sociétés écrans
Un élément clé de cette opération est un vaste réseau de malvertising qui exploite les publicités Google et YouTube. Les attaquants utilisent plusieurs sociétés écrans vérifiées par Google pour publier et promouvoir des publicités malveillantes, ce qui renforce la crédibilité de leurs campagnes et leur permet de contourner le contrôle des plateformes publicitaires.
Parmi les sociétés liées à cette opération figurent :
AdsParkPro LTD, Advantage Web Marketing LLC et SOFT WE ART LIMITED (qui opère désormais sous le nom de PACIFIC TRADE SOLUTIONS LTD).
Des documents supplémentaires provenant de YouControl et du registre des sociétés britanniques (Companies House) indiquent des liens entre ces entités et des personnes physiques ukrainiennes.
Les publicités ciblent principalement les utilisateurs de macOS situés aux États-Unis, au Canada, en Australie, en France et en Allemagne. Bien que les comptes Google Ads associés ne soient plus accessibles via le Centre de transparence Google Ads, les archives continuent de révéler des liens entre les entités impliquées.
Détournement de navigateur via des applications de confiance
Une fois exécuté, FlutterShell modifie les fichiers de configuration de Google Chrome afin de rediriger tout le trafic du navigateur via des sites web intermédiaires contrôlés par l'attaquant et remplis de publicités. Cette technique de détournement de navigateur permet aux acteurs malveillants de générer des revenus tout en gardant le contrôle sur l'activité de navigation des utilisateurs.
Le fait que chaque échantillon analysé ait été signé à l'aide d'identifiants de développeur Apple valides et ait passé avec succès le processus de notarisation d'Apple est particulièrement préoccupant. De ce fait, les mécanismes de sécurité automatisés d'Apple n'ont pas identifié ces applications comme malveillantes lors de leur soumission.
L’architecture WebView permet une évolution dynamique des logiciels malveillants.
L'une des caractéristiques les plus distinctives de FlutterShell est son architecture basée sur WebView, associée à une passerelle de communication entre JavaScript et le code natif. Dans ce modèle, l'application intègre un composant navigateur qui affiche du contenu web tout en permettant au code JavaScript de communiquer directement avec les fonctions système natives.
Plutôt que d'intégrer directement la logique malveillante dans le fichier binaire de l'application, les acteurs malveillants hébergent une part importante des fonctionnalités du logiciel malveillant sur des sites web distants qu'ils contrôlent. Cette approche présente plusieurs avantages :
Le comportement du logiciel malveillant peut être modifié en temps réel sans avoir à recompiler l'application.
De nouvelles fonctionnalités peuvent être introduites sans distribuer de fichiers binaires de logiciels malveillants mis à jour.
La détection devient plus difficile car la logique malveillante principale réside en dehors de l'application installée.
Cette architecture offre aux attaquants une flexibilité exceptionnelle et permet une adaptation rapide aux mesures défensives.
Plusieurs variantes témoignent d’un développement actif
Des chercheurs ont identifié trois variantes connues de FlutterShell : PodcastsLounge, PDF-Brain et PDF-Ninja. L’analyse de l’infrastructure des attaquants a révélé des fonctions JavaScript incomplètes et des composants de code non finalisés, ce qui laisse supposer que le développement est toujours en cours.
Plusieurs variantes, notamment PDF-Brain et PDF-Ninja, intègrent des fonctionnalités de résumé de documents basées sur l'intelligence artificielle. Cependant, les documents soumis à ce résumé transitent d'abord par des serveurs contrôlés par des attaquants avant d'être traités, ce qui soulève d'importantes questions de confidentialité et de sécurité pour les utilisateurs concernés.
Liens techniques étroits avec les campagnes précédentes
FlutterShell présente des similitudes notables avec d'anciennes familles de logiciels malveillants liées à CL-CRI-1089, notamment Calendaromatic et Recipe Lister. Le point commun le plus évident est l'architecture basée sur WebView, qui permet la modification dynamique des charges utiles malveillantes après leur déploiement.
Les enquêteurs ont également constaté qu'Advantage Web Marketing LLC avait non seulement participé à la diffusion de publicités malveillantes, mais avait aussi servi d'entité de signature pour des échantillons de logiciels publicitaires Windows associés au même groupe de menaces. Ces découvertes renforcent les liens entre les différentes campagnes.
Un paysage de menaces persistant et croissant
La transition de JSCoreRunner à FlutterShell témoigne d'une sophistication technique accrue de la part de CL-CRI-1089. L'association du développement de logiciels malveillants avancés, d'opérations de malvertising à grande échelle et du recours à des sociétés écrans vérifiées pour contourner les contrôles des plateformes publicitaires souligne l'efficacité croissante des tactiques du groupe.
L'utilisation coordonnée de plusieurs organisations écrans, conjuguée à l'apparition rapide de nouvelles variantes de FlutterShell, laisse penser que l'opération FlutterBridge demeure une menace active et évolutive. Les chercheurs en sécurité avertissent que la campagne est loin d'être terminée et qu'elle continuera probablement d'adapter ses techniques pour cibler les utilisateurs de macOS dans le monde entier.
