Devis de remise multi-licences
Données concernant les menaces Portes dérobées Logiciel malveillant RokRAT

Logiciel malveillant RokRAT

Par Mezo en Portes dérobées, Menace persistante avancée (APT)
Se traduisent par :

Le groupe de cybercriminels nord-coréen APT37 (également connu sous le nom de ScarCruft) a été associé à une campagne de cyberattaques sophistiquée et multi-étapes, exploitant l'ingénierie sociale via Facebook. Les attaquants initient le contact en envoyant des demandes d'amis, gagnant progressivement la confiance du destinataire avant de transformer l'interaction en un canal de diffusion de logiciels malveillants. Cette manipulation calculée permet finalement le déploiement du cheval de Troie d'accès à distance RokRAT.

Arme de prédilection : L’évolution de RokRAT

RokRAT demeure le principal logiciel malveillant utilisé par le groupe et a considérablement évolué au fil du temps, avec des adaptations pour des plateformes telles que macOS et Android. Son développement continu témoigne d'un investissement opérationnel soutenu.

Ce logiciel malveillant est capable d'exécuter un large éventail d'activités malveillantes, notamment :

  • Collecte d'identifiants et exfiltration de données sensibles
  • Capture d'écran et reconnaissance du système
  • Exécution de commandes et de shellcode
  • manipulation de fichiers et de répertoires

Pour dissimuler ses opérations, les premières versions stockaient les données volées au format MP3. De plus, RokRAT camoufle ses communications de commande et de contrôle (C2) en acheminant les données via des plateformes cloud légitimes telles que Dropbox, Microsoft OneDrive, pCloud et Yandex Cloud.

La confiance comme vecteur d’attaque : la manipulation des médias sociaux

La campagne débute par la création de faux profils Facebook, basés, semble-t-il, à Pyongyang et Pyongsong. Ces comptes servent à identifier et évaluer les victimes potentielles. Une fois le contact établi, les conversations se poursuivent sur Messenger, où des sujets soigneusement sélectionnés sont abordés afin d'instaurer un climat de confiance et de susciter l'engagement.

Une tactique essentielle employée consiste à utiliser un prétexte fallacieux : convaincre les cibles d’installer un visualiseur PDF spécialisé sous le faux prétexte qu’il est nécessaire pour accéder à des documents militaires chiffrés. L’application fournie est une version modifiée de Wondershare PDFelement, intégrant un code malveillant. À son exécution, ce programme d’installation initie la compromission en accordant aux attaquants un accès initial au système.

Tromperie à plusieurs niveaux : Techniques avancées de diffusion et d’évasion

La chaîne d'attaque témoigne d'un haut degré de sophistication grâce à la combinaison de multiples stratégies d'évasion :

  • Utilisation d'un logiciel légitime piégé par un cheval de Troie pour contourner les soupçons
  • Exploitation d'une infrastructure web compromise mais de confiance pour des opérations de C2
  • Déguiser des charges utiles malveillantes en fichiers bénins, tels que des images JPG

Les attaquants ont notamment exploité un site web compromis, lié à la branche sud-coréenne d'une agence immobilière japonaise, pour diffuser des commandes et des charges utiles. La charge utile de la seconde phase se présente sous la forme d'un fichier image anodin, dissimulant le déploiement final de RokRAT.

Exécution en plusieurs étapes : du contact social au compromis total

L'attaque se déroule en plusieurs étapes coordonnées. Le 10 novembre 2025, les auteurs ont créé des comptes Facebook nommés « richardmichael0828 » et « johnsonsophia0414 ». Après avoir établi un lien de confiance, la communication est redirigée vers Telegram, où les victimes reçoivent une archive ZIP contenant le logiciel malveillant de visualisation de PDF, des documents leurres et les instructions d'installation.

L'exécution du programme d'installation compromis déclenche un shellcode chiffré qui se connecte à un domaine C2 et récupère une charge utile secondaire dissimulée sous forme d'image JPG. Ce fichier déploie ensuite l'intégralité du malware RokRAT.

Commande et contrôle basés sur le cloud : intégration au trafic légitime

RokRAT renforce encore sa furtivité en exploitant Zoho WorkDrive dans le cadre de son infrastructure C2, une méthode également observée dans la campagne « Ruby Jumper » identifiée début 2026. Grâce à cette approche, le logiciel malveillant effectue des fonctions telles que la capture d'écran, l'exécution de commandes à distance via des shells système, la collecte de données hôtes et l'évasion de sécurité.

Orientation stratégique : Stabilité fonctionnelle, innovation opérationnelle

Bien que les capacités fondamentales de RokRAT soient restées globalement constantes d'une opération à l'autre, ses mécanismes de diffusion et ses tactiques d'évasion continuent d'évoluer. Cette orientation stratégique témoigne d'une volonté délibérée d'améliorer les vecteurs d'infection et les techniques de furtivité plutôt que de modifier les fonctionnalités de base du logiciel malveillant.

Tendance

Arnaque par courriel : vérification de sécurité requise

Hameçonnage, Courrier indésirable
Il est essentiel de rester vigilant face aux courriels inattendus pour préserver sa sécurité en ligne. Les cybercriminels dissimulent fréquemment des messages malveillants sous l'apparence de communications légitimes afin d'exploiter la confiance et l'urgence. L'escroquerie par courriel dite « Vérification de sécurité requise » en est un parfait exemple. Malgré leur apparence...

Le plus regardé

Chargement...