Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Variante JavaScript de PicassoLoader

Variante JavaScript de PicassoLoader

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT)
Se traduisent par :

Le groupe de cybercriminels Ghostwriter est impliqué dans une nouvelle vague de cyberattaques visant des organisations gouvernementales ukrainiennes. Actif depuis au moins 2016, ce groupe s'est forgé une réputation en menant des opérations d'espionnage informatique et d'influence en Europe de l'Est, avec une forte concentration de ses activités en Ukraine et dans les pays voisins.

Ce groupe de cybercriminels est également suivi sous plusieurs pseudonymes, notamment FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 et White Lynx. Au fil des ans, il a constamment perfectionné son infrastructure, ses chaînes d'attaque et ses méthodes d'évasion afin de contourner les contrôles de sécurité et de maintenir son efficacité opérationnelle à long terme.

Un arsenal de logiciels malveillants en constante évolution

Ghostwriter a constamment modernisé son écosystème de logiciels malveillants et ses techniques de diffusion. Les campagnes précédentes s'appuyaient fortement sur la famille de logiciels malveillants PicassoLoader, qui servait de vecteur pour des charges utiles supplémentaires telles que Cobalt Strike Beacon et njRAT.

Fin 2023, le groupe a étendu ses capacités en exploitant la vulnérabilité CVE-2023-38831 de WinRAR pour diffuser PicassoLoader et Cobalt Strike. L'année suivante, des organisations polonaises ont été la cible d'une campagne d'hameçonnage exploitant une faille de script intersite (XSS) dans Roundcube, référencée CVE-2024-42009. Cette activité malveillante a permis aux attaquants d'exécuter du code JavaScript capable de collecter les identifiants de messagerie des victimes.

Les comptes compromis ont ensuite été utilisés pour examiner le contenu des boîtes mail, voler des listes de contacts et diffuser des messages d'hameçonnage supplémentaires en juin 2025. Fin 2025, le groupe avait également intégré des techniques anti-analyse avancées à ses opérations. Certains documents d'appât utilisaient une vérification CAPTCHA dynamique pour activer sélectivement la chaîne d'infection malveillante et déjouer les systèmes d'analyse automatisés.

Des campagnes sophistiquées de spear-phishing ciblent l’Ukraine

Depuis mars 2026, des chercheurs ont observé une nouvelle campagne visant les institutions gouvernementales ukrainiennes par le biais de courriels d'hameçonnage ciblés contenant des pièces jointes PDF malveillantes. Ces documents leurres usurpent l'identité de l'opérateur de télécommunications ukrainien Ukrtelecom afin de paraître légitimes et d'accroître l'engagement des victimes.

La chaîne d'attaque repose sur des liens intégrés dans les fichiers PDF qui redirigent les victimes vers une archive RAR malveillante contenant une charge utile JavaScript. Une fois exécutée, cette charge utile affiche un document leurre pour préserver l'illusion de légitimité tout en lançant discrètement en arrière-plan une variante JavaScript de PicassoLoader. Ce dernier déploie ensuite Cobalt Strike Beacon sur les systèmes compromis.

Le géorepérage et la validation des victimes renforcent la discrétion

L'un des aspects les plus marquants de cette dernière campagne est la mise en œuvre du géorepérage et de mécanismes de validation des victimes à plusieurs niveaux. Les systèmes se connectant depuis des adresses IP situées hors d'Ukraine reçoivent un contenu PDF inoffensif au lieu du code malveillant, ce qui réduit considérablement leur exposition aux chercheurs et aux systèmes d'analyse automatisés.

Le logiciel malveillant effectue également une analyse approfondie des hôtes compromis avant de déployer des charges utiles supplémentaires. Les informations système collectées sont transmises toutes les dix minutes à une infrastructure contrôlée par l'attaquant, permettant aux opérateurs de déterminer manuellement si une victime justifie une exploitation plus poussée. Ce n'est qu'une fois ce processus de validation terminé que l'infrastructure déploie un programme d'installation JavaScript de troisième étape, chargé d'installer Cobalt Strike Beacon.

L'opération combine des méthodes de filtrage automatisées, notamment la vérification basée sur l'agent utilisateur et l'adresse IP, avec un examen manuel par un opérateur, ce qui témoigne d'une méthodologie d'attaque très disciplinée et mature.

La stratégie de ciblage régional s’étend à toute l’Europe de l’Est

L'activité actuelle semble se concentrer principalement sur les entités militaires, de défense et gouvernementales en Ukraine. Cependant, les opérations attribuées à Ghostwriter en Pologne et en Lituanie témoignent d'une stratégie de ciblage plus large qui s'étend à de multiples secteurs critiques :

  • organisations industrielles et manufacturières
  • établissements de santé et pharmaceutiques
  • prestataires logistiques
  • agences gouvernementales

L'évolution constante des outils, des mécanismes de diffusion et des pratiques de sécurité opérationnelle de Ghostwriter souligne la persévérance et l'adaptabilité du groupe. Sa capacité à combiner des documents d'appât personnalisés, une diffusion sélective de la charge utile, des techniques anti-analyse et une validation manuelle des victimes démontre une capacité de cyberespionnage sophistiquée, conçue pour échapper à la détection tout en maximisant l'impact opérationnel.

Tendance

Le plus regardé

Chargement...