Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant TransferLoader

Logiciel malveillant TransferLoader

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT)
Se traduisent par :

Des chercheurs en sécurité établissent des liens entre les acteurs notoires à l'origine du RAT RomCom et un chargeur de malware baptisé TransferLoader. Cette campagne, qui a ciblé des entités par des attaques d'espionnage et de rançongiciel, met en évidence des techniques sophistiquées et des infrastructures imbriquées qui nécessitent un examen attentif.

Deux groupes d’acteurs menaçants : TA829 et UNK_GreenSec

Les chercheurs en cybersécurité ont attribué l’activité liée à TransferLoader à deux principaux groupes d’acteurs de la menace :

  • TA829, également suivi sous des alias tels que RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 et Void Rabisu.
  • UNK_GreenSec, un cluster moins connu fonctionnant en parallèle avec des tactiques similaires.

TA829 se distingue particulièrement par ses opérations hybrides, combinant espionnage et attaques à motivation financière. Ce groupe, proche de la Russie, a déjà exploité des vulnérabilités zero-day dans Mozilla Firefox et Microsoft Windows pour déployer le RAT RomCom, ciblant des organisations mondiales de grande valeur.

TransferLoader : émergence et rôle dans les campagnes de logiciels malveillants

TransferLoader a été identifié pour la première fois en février 2025 lors d'une campagne impliquant le rançongiciel Morpheus, une version rebaptisée du rançongiciel HellCat. Ce malware a été utilisé contre un cabinet d'avocats américain dont l'identité n'a pas été révélée. Contrairement à RomCom, TransferLoader sert principalement de mécanisme de diffusion furtif, permettant le déploiement de charges utiles malveillantes supplémentaires comme Metasploit et Morpheus.

La mission de TransferLoader est simple : rester indétectable et diffuser davantage de logiciels malveillants.

Exploiter l’infrastructure proxy REM

TA829 et UNK_GreenSec s'appuient tous deux sur les services proxy REM, souvent hébergés sur des routeurs MikroTik compromis. Ces proxys servent à acheminer le trafic malveillant, masquant ainsi sa véritable origine. Les groupes utilisent cette infrastructure pour :

  • Envoyer des e-mails de phishing via des services de messagerie gratuits (par exemple, Gmail, ukr.net)
  • Relayer le trafic pour masquer l'activité en amont
  • Lancez des campagnes en utilisant à la fois des comptes de messagerie nouvellement créés et compromis

Les chercheurs soupçonnent l'utilisation d'outils de création d'e-mails qui génèrent en masse des adresses d'expéditeur comme ximajazehox333@gmail.com et hannahsilva1978@ukr.net pour la distribution de phishing.

Mécanismes d’hameçonnage et livraison de charges utiles

Les messages d'hameçonnage envoyés par les deux groupes contiennent souvent des liens intégrés dans le corps du message ou dans des pièces jointes PDF. Les victimes qui cliquent sur ces liens sont soumises à une chaîne de redirections via Rebrandly, aboutissant finalement sur des pages Google Drive ou Microsoft OneDrive falsifiées. Ces redirections incluent des mécanismes permettant :

  • Contourner les environnements sandbox
  • Filtrer les systèmes qui ne présentent pas d'intérêt
  • Fournir différentes charges utiles finales en fonction du groupe de menaces

Chemins d'attaque divergents :

  • UNK_GreenSec utilise cette route pour déployer TransferLoader
  • TA829 redirige les cibles vers le malware SlipScreen

Outils et infrastructures partagés

Les deux groupes d’acteurs présentent des ensembles d’outils et des choix d’infrastructure qui se chevauchent :

  • Utilisation de l'utilitaire PLINK de PuTTY pour établir des tunnels SSH
  • Hébergement d'utilitaires malveillants sur les services IPFS (InterPlanetary File System)
  • Exploiter les points de terminaison de redirection dynamiques basés sur PHP pour le filtrage du trafic

Ces méthodes partagées suggèrent une possible coordination ou une adoption mutuelle de tactiques efficaces.

Thèmes d’ingénierie sociale et tactiques de diffusion

Les campagnes utilisant TransferLoader se font souvent passer pour des e-mails d'offres d'emploi, attirant les victimes avec des liens censés rediriger vers des CV au format PDF. En réalité, le lien déclenche le téléchargement de TransferLoader hébergé sur IPFS webshares.

Principaux points techniques des opérations de TransferLoader

Évite la détection – Utilise la redirection, le filtrage et l’hébergement décentralisé pour contourner les défenses traditionnelles.

Livraison de charge utile – Agit comme un chargeur pour les logiciels malveillants les plus dangereux, notamment les ransomwares et les outils d'accès à distance.

Techniques différenciées – Utilise des structures de redirection uniques (JavaScript vers des points de terminaison PHP) pour prendre en charge la diffusion de contenu dynamique.

Conclusion : comprendre la menace TransferLoader

TransferLoader représente une menace importante en tant que chargeur furtif capable de mener des attaques à fort impact. Son utilisation par UNK_GreenSec et TA829 illustre la manière dont les groupes cybercriminels continuent d'innover, de partager des outils et d'exploiter des infrastructures décentralisées pour échapper à la détection et atteindre leurs objectifs.

Les indicateurs de la menace TransferLoader incluent :

  • Utilisation des services REM Proxy
  • Leurres par courrier électronique faisant référence à des candidatures ou à des CV
  • Chaînes de redirection impliquant des liens Rebrandly
  • Charges utiles hébergées sur des plateformes basées sur IPFS

Les organisations doivent rester vigilantes, mettre en œuvre un filtrage robuste des e-mails et du Web et surveiller en permanence les comportements anormaux du réseau liés à ces tactiques.

Tendance

Le plus regardé

Chargement...