Logiciel malveillant kkRAT

Des chercheurs en sécurité informatique ont découvert une campagne active de malwares ciblant les utilisateurs sinophones. Cette campagne utilise un cheval de Troie d'accès à distance jusqu'alors inconnu, baptisé kkRAT. La campagne semble être en cours depuis début mai 2025 et combine des techniques RAT familières avec des chargeurs modulaires et des techniques de tromperie pour échapper à la détection et assurer la persistance.

ORIGINES DES MENACES ET LIENS CODELINE

L'analyse montre que kkRAT s'inspire largement de familles établies : son protocole réseau et certaines structures de code ressemblent à ceux utilisés par Gh0st RAT (Ghost RAT) et Big Bad Wolf (大灰狼), un RAT historiquement utilisé par des groupes cybercriminels basés en Chine. Les auteurs ont superposé un chiffrement supplémentaire à la compression, créant ainsi un canal de communication de type Ghost avec une étape de chiffrement supplémentaire.

MODE DE LIVRAISON — FAUX INSTALLATEURS HÉBERGÉS SUR DES PAGES GITHUB

Des acteurs ont hébergé des pages de phishing sur GitHub, usurpant l'identité d'applications populaires (par exemple, DingTalk) et diffusant trois chevaux de Troie via de faux installateurs. En abusant de la réputation de GitHub, les opérateurs ont accru la probabilité que les victimes fassent confiance aux installateurs et les exécutent. Les experts soulignent que le compte GitHub utilisé pour héberger ces pages n'est plus disponible.

COMPORTEMENT DE L’INSTALLATEUR

Une fois exécuté, le faux programme d'installation effectue plusieurs vérifications pour détecter les environnements sandbox et les machines virtuelles, et tente de contourner les contrôles de sécurité. Il demande des privilèges d'administrateur ; s'ils sont accordés, il énumère et désactive temporairement les cartes réseau actives, une fonctionnalité utilisée pour interférer avec les vérifications réseau de l'antivirus et perturber le fonctionnement normal de l'antivirus pendant qu'il applique ses modifications.

TECHNIQUES ANTI-AV

Le logiciel malveillant utilise la technique BYOVD (Bring Your Own Vulnerable Driver) pour neutraliser les protections des terminaux, en réutilisant le code du projet open source RealBlindingEDR. Il recherche et cible spécifiquement les suites de protection grand public et entreprises suivantes :

Suite de sécurité Internet 360

Sécurité totale à 360°

Suite de diagnostic système HeroBravo

Kingsoft Internet Security

QQ电脑管家

Après avoir arrêté les processus antivirus concernés, le programme d'installation crée une tâche planifiée, exécutée avec les privilèges SYSTÈME, qui exécute un script batch à chaque connexion utilisateur, garantissant ainsi la suppression automatique des processus antivirus ciblés. Le logiciel malveillant modifie également les entrées du Registre Windows de manière à désactiver les vérifications réseau, puis réactive les cartes réseau une fois les modifications terminées.

CHAÎNE DE CHARGE UTILE

Le rôle principal de l'installateur est d'exécuter un shellcode, qui récupère et exécute un fichier shellcode secondaire obscurci nommé « 2025.bin » à partir d'une URL codée en dur. Ce shellcode agit comme un téléchargeur et récupère un artefact nommé « output.log », qui contacte ensuite deux URL pour télécharger deux archives ZIP :

• trx38.zip — contient un exécutable légitime ainsi qu'une DLL malveillante lancée via le chargement latéral de DLL.
• p.zip — contient un fichier appelé longlq.cl qui contient une charge utile finale chiffrée.

Le logiciel malveillant crée un raccourci vers l'exécutable légitime de trx38.zip, le place dans le dossier de démarrage de l'utilisateur pour assurer sa persistance, puis exécute l'exécutable légitime afin de charger la DLL malveillante. La DLL déchiffre et exécute la charge utile finale contenue dans longlq.cl. La charge utile finale de la campagne varie selon l'instance de campagne ; l'une des charges utiles confirmées est kkRAT.

CAPACITÉS DE kkRAT (COMMANDES, PLUGINS ET COMPORTEMENT)

kkRAT se connecte à un serveur C2 via un socket, profile l'hôte infecté et télécharge des plugins et des commandes permettant un contrôle à distance et une collecte de données étendus. Ses fonctionnalités observées incluent :

• capture d'écran et simulation de la saisie utilisateur (clavier et souris)
• lecture et modification du contenu du presse-papiers (utilisé pour le remplacement des adresses de crypto-monnaie)
• activer la fonctionnalité de bureau à distance et lancer/fermer à distance des applications, y compris les navigateurs
• exécution de commandes à distance via un shell interactif
• gestion Windows à l'écran et listes/fin des processus
• énumération des connexions réseau actives
• lister les applications installées et désinstaller les logiciels sélectionnés
• lecture des valeurs du registre autorun et énumération des entrées autorun
• agissant comme un proxy SOCKS5 pour acheminer le trafic et potentiellement contourner les pare-feu ou les VPN

• installation et déploiement d'outils de gestion à distance tels que Sunlogin et GotoHTTP

• mécanismes de persistance et un large ensemble de commandes pour invoquer des plugins et des fonctions opérationnelles

kkRAT contient également une fonctionnalité de clipper qui remplace les adresses de portefeuille de crypto-monnaie copiées et des routines pour effacer les données d'une gamme de navigateurs et d'applications de messagerie (exemples observés : 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer et Telegram).

RÉSUMÉ — POURQUOI LA CAMPAGNE D’ATTAQUE EST IMPORTANTE

Cette campagne se distingue par la combinaison de : une distribution par ingénierie sociale via des pages GitHub d'apparence légitime ; des techniques avancées d'anti-analyse et de lutte contre les antivirus (détection sandbox/VM, BYOVD utilisant le code RealBlindingEDR) ; un chargeur multi-étapes utilisant le chargement latéral de DLL et des conteneurs de charges utiles chiffrés ; et un RAT complet (kkRAT) prenant en charge à la fois le vol d'informations (piratage du presse-papiers, capture d'écran, exfiltration de données) et les outils opérationnels (outils de gestion à distance, proxy). L'architecture modulaire permet de permuter la charge utile finale, ce qui accroît la flexibilité pour les opérateurs et complexifie la détection et l'attribution.