Logiciel malveillant SIMPLEFIX
Le groupe russe de menaces persistantes avancées (APT) COLDRIVER a été associé à une nouvelle vague d'attaques de type ClickFix, introduisant deux familles de malwares légers : BAITSWITCH et SIMPLEFIX. Les chercheurs en sécurité ont identifié cette campagne en plusieurs étapes en septembre 2025. BAITSWITCH agit comme un téléchargeur qui, à terme, diffuse SIMPLEFIX, une porte dérobée basée sur PowerShell.
COLDRIVER, également connu sous des pseudonymes tels que Callisto, Star Blizzard et UNC4057, est actif depuis 2019 et cible un large éventail d'organisations. Les premières campagnes s'appuyaient sur le spear-phishing pour rediriger les victimes vers des pages de collecte d'identifiants. Au fil du temps, le groupe a développé des outils sur mesure comme SPICA et LOSTKEYS, témoignant de sa sophistication technique croissante.
Table des matières
ClickFix : un vecteur d’attaque persistant et éprouvé
Ce groupe APT a déjà déployé des tactiques ClickFix, documentées pour la première fois en mai 2025. Dans ces campagnes, de faux sites Web proposaient des invites CAPTCHA frauduleuses, incitant les victimes à exécuter des commandes PowerShell qui fournissaient le script Visual Basic LOSTKEYS.
Bien que ClickFix ne soit ni nouveau ni très avancé, son utilisation répétée démontre son efficacité comme vecteur d'infection. Les attaques les plus récentes conservent la même méthodologie générale : les victimes sont incitées à exécuter une DLL malveillante via la boîte de dialogue Exécuter de Windows, soi-disant pour effectuer un test CAPTCHA.
Anatomie de la chaîne d’attaque
L'attaque se déroule comme suit :
La DLL BAITSWITCH est exécutée et se connecte à un domaine contrôlé par l'attaquant (captchanom.top) pour récupérer la porte dérobée SIMPLEFIX. Un document leurre hébergé sur Google Drive est affiché pour distraire la victime.
Plusieurs requêtes HTTP sont envoyées au même serveur pour transmettre des informations système, recevoir des commandes de persistance, stocker des charges utiles chiffrées dans le registre Windows, télécharger un stager PowerShell et effacer l'historique récent de la boîte de dialogue Exécuter pour couvrir les traces.
Le programme de préparation PowerShell télécharge SIMPLEFIX depuis southprovesolutions.com. SIMPLEFIX établit une connexion avec un serveur de commande et de contrôle (C2), permettant l'exécution de scripts, de commandes et de binaires PowerShell distants.
Un script PowerShell exécuté via SIMPLEFIX cible un ensemble prédéfini de répertoires et de types de fichiers pour l'exfiltration, reflétant les chevauchements avec les campagnes LOSTKEYS précédentes.
Profil cible et orientation stratégique
Les opérations de COLDRIVER se concentrent principalement sur les acteurs de la société civile, notamment :
- Membres d'ONG et de groupes de réflexion dans les régions occidentales
- Défenseurs des droits de l'homme
- Personnes exilées ou résidant en Russie
La campagne actuelle s’inscrit étroitement dans cette victimologie établie, renforçant l’intérêt continu du groupe pour la société civile russe et les réseaux associés.
