Logiciel malveillant MonsterV2

Des chercheurs en cybersécurité ont récemment révélé l'existence d'un acteur de menace jusqu'alors non documenté, identifié comme TA585, qui menait des campagnes sophistiquées de phishing et d'injection Web pour diffuser une famille de logiciels malveillants prêts à l'emploi connue sous le nom de MonsterV2.

TA585 — Un opérateur qui possède la chaîne de destruction complète

TA585 se distingue par sa maîtrise de bout en bout de sa chaîne d'attaque. Plutôt que d'acheter des distributions, de louer des accès à des courtiers d'accès initial ou de s'appuyer sur des services de trafic tiers, TA585 gère sa propre infrastructure, ses mécanismes de distribution et ses outils d'installation. Les analystes décrivent le cluster comme sophistiqué : l'acteur utilise des injections web, du filtrage, des vérifications d'environnement et de multiples techniques de distribution pour maximiser ses chances de succès et éviter toute analyse.

Hameçonnage, ClickFix et leurres à l'effigie de l'IRS : le manuel d'ingénierie sociale
Les premières campagnes s'appuyaient sur des leurres d'hameçonnage classiques, inspirés de l'Internal Revenue Service (IRS) des États-Unis. Les cibles recevaient des messages pointant vers de fausses URL, ouvrant un PDF contenant un lien vers une page web utilisant la tactique d'ingénierie sociale ClickFix. ClickFix incite la victime à exécuter une commande via la boîte de dialogue Exécuter de Windows ou un terminal PowerShell, qui exécute ensuite un script PowerShell pour extraire et déployer MonsterV2.

Injections Web et fausses superpositions CAPTCHA

Lors des vagues suivantes observées en avril 2025, TA585 a commencé à compromettre des sites web légitimes via des injections JavaScript malveillantes. Ces injections ont généré de fausses vérifications CAPTCHA superposées, déclenchant à nouveau le processus ClickFix et lançant une commande PowerShell pour télécharger et exécuter le logiciel malveillant. L'injection JavaScript et l'infrastructure associée (notamment intlspring.com) ont également été associées à la distribution d'autres logiciels malveillants, dont Rhadamanthys Stealer.

Avis d’abus et de sécurité frauduleux sur GitHub

Une troisième série de campagnes TA585 a abusé des mécanismes de notification de GitHub : l'auteur a identifié les utilisateurs de GitHub dans des notifications de « sécurité » frauduleuses contenant des URL redirigeant les victimes vers des sites contrôlés par l'auteur. Ces fausses alertes GitHub constituaient un autre vecteur utilisé pour diriger les victimes vers la même chaîne ClickFix/PowerShell.

CoreSecThree Framework — L’épine dorsale de la distribution

Les clusters d'activités d'injection Web et de faux GitHub ont été associés à CoreSecThree, un framework caractérisé par les chercheurs comme « sophistiqué » et utilisé depuis février 2022. CoreSecThree a été systématiquement utilisé pour propager des logiciels malveillants voleurs dans plusieurs campagnes.

MonsterV2 — Origines et variantes

MonsterV2 est une menace polyvalente : cheval de Troie d'accès à distance (RAT), voleur et chargeur. Les chercheurs l'ont découvert sur des forums criminels en février 2025. Également connu sous le nom d'« Aurotun Stealer » (une faute d'orthographe de « autorun »), il a déjà été distribué via CastleLoader (également appelé CastleBot). Des itérations antérieures de TA585 ont distribué Lumma Stealer avant le basculement vers MonsterV2 début 2025.

Modèle commercial et géorepérage

MonsterV2 est vendu par un opérateur russophone. Les tarifs pratiqués sur les plateformes criminelles sont les suivants : l'édition Standard coûte 800 USD par mois et l'édition Entreprise 2 000 USD par mois. L'édition Entreprise inclut le composant Stealer + Loader, Hidden VNC (HVNC) et la prise en charge du protocole Chrome DevTools (CDP). Le composant Stealer est configuré pour éviter d'infecter les pays de la Communauté des États indépendants (CEI).

Emballage, anti-analyse et comportement d’exécution

MonsterV2 intègre généralement un chiffreur C++ nommé SonicCrypt. SonicCrypt effectue des contrôles anti-analyse multicouches avant le déchiffrement et le chargement de la charge utile, permettant ainsi d'éviter toute détection. À l'exécution, la charge utile déchiffre, résout les fonctions de l'API Windows requises et tente d'élever ses privilèges. Elle décode ensuite une configuration intégrée qui lui indique comment contacter son centre de commande et de contrôle (C2) et les actions à entreprendre.

Les indicateurs de configuration utilisés par MonsterV2 incluent :

• anti_dbg — lorsque la valeur est True, le logiciel malveillant tente de détecter et d'échapper aux débogueurs.
• anti_sandbox — lorsque la valeur est True, le logiciel malveillant tente une détection sandbox et utilise des techniques anti-sandbox rudimentaires.
• aurotun — lorsque la valeur est True, le malware tente d'établir la persistance (la faute d'orthographe est la source du nom « Aurotun »).
• privilege_escalation — lorsque la valeur est True, le logiciel malveillant tente d'élever les privilèges sur l'hôte.

Réseautage et comportement C2

Si MonsterV2 parvient à atteindre son C2, il envoie d'abord les données de télémétrie et de géolocalisation du système en interrogeant un service public (les chercheurs ont observé des requêtes adressées à api.ipify.org). La réponse du C2 contient les commandes à exécuter. Lors de certaines opérations observées, les charges utiles larguées par MonsterV2 étaient configurées pour utiliser le même serveur C2 que d'autres charges utiles (par exemple, StealC), bien que ces autres campagnes n'aient pas été directement attribuées à TA585.

Les capacités documentées de MonsterV2 sont :

• Voler des données sensibles et les exfiltrer vers le serveur.

• Exécutez des commandes arbitraires via cmd.exe ou PowerShell.

• Terminer, suspendre ou reprendre les processus.

• Établissez des connexions HVNC avec l’hôte infecté.

• Capturez des captures d'écran du bureau.

• Exécutez un enregistreur de frappe.

• Énumérer, manipuler, copier et exfiltrer des fichiers.

• Arrêtez ou plantez le système.

• Téléchargez et exécutez les charges utiles de l’étape suivante (exemples observés : StealC et Remcos RAT).

Guide d’atténuation et de détection

Les défenseurs doivent considérer TA585 comme un opérateur performant et intégré verticalement, combinant ingénierie sociale, compromission de site et techniques anti-analyse multicouches. Les possibilités de détection incluent : la surveillance des activités suspectes dans les boîtes de dialogue PowerShell/Run provenant de flux web, l'identification des injections JavaScript anormales sur des sites légitimes, le blocage des binaires SonicCrypt connus via des détections comportementales et le signalement des connexions HVNC/de contrôle à distance inattendues et des schémas d'exfiltration de fichiers. La surveillance des communications vers des hôtes C2 inhabituels et des requêtes vers des services de découverte d'adresses IP publiques (par exemple, api.ipify.org), en conjonction avec les transferts de données sortants, peut également révéler des infections.

Résumé

TA585 représente un acteur malveillant résilient qui conserve le contrôle de la distribution, de la livraison et du fonctionnement de la charge utile. En combinant hameçonnage, injection JavaScript au niveau du site, fausses superpositions CAPTCHA et la charge utile commerciale MonsterV2 (intégrée à SonicCrypt), l'acteur a développé une capacité multi-vecteurs fiable pour le vol de données et le contrôle à distance. Compte tenu de sa maturité opérationnelle et de la modularité de MonsterV2, les organisations doivent prioriser la détection des lancements de commandes web, des chaînes de téléchargement-exécution PowerShell, des binaires encapsulés dans SonicCrypt et des activités suspectes de HVNC ou d'exfiltration.