Logiciel malveillant XDigo

Des chercheurs en cybersécurité ont découvert une nouvelle campagne de cyberespionnage impliquant un logiciel malveillant basé sur Go, baptisé XDigo, déployé en mars 2025 contre des organisations gouvernementales d'Europe de l'Est. Ce logiciel malveillant est lié au groupe XDSpy, actif dans la région depuis au moins 2011.

Le retour de XDSpy : une décennie de surveillance

XDSpy est un groupe de cyberespionnage bien documenté, connu pour cibler des agences gouvernementales en Europe de l'Est et dans les Balkans. Analysé publiquement pour la première fois en 2020, XDSpy a maintenu une activité régulière, faisant évoluer ses outils et son champ de ciblage au fil des ans.

Des campagnes récentes attribuées au groupe ont touché des organisations en Russie et en Moldavie, déployant des familles de logiciels malveillants comme UTask, XDDown et DSDownloader, des outils conçus pour télécharger des charges utiles supplémentaires et siphonner des données sensibles à partir de systèmes infectés.

Exploits LNK : le danger caché derrière les raccourcis Windows

La campagne XDigo utilise une chaîne d'attaque en plusieurs étapes qui commence par les fichiers de raccourci Windows (.LNK), exploitant une vulnérabilité d'exécution de code à distance dans Microsoft Windows suivie sous le nom ZDI-CAN-25373, divulguée publiquement en mars 2025.

Cette vulnérabilité résulte d'une mauvaise gestion de fichiers LNK spécialement conçus, permettant à du contenu malveillant de rester invisible dans l'interface utilisateur tout en exécutant du code dans le contexte de l'utilisateur actuel. Une inspection plus approfondie a révélé un sous-ensemble de neuf fichiers LNK de ce type, exploitant une faille de confusion d'analyse causée par l'implémentation partielle de la spécification MS-SHLLINK (v8.0) par Microsoft.

Confusion d’analyse : spécification et implémentation

La spécification MS-SHLLINK autorise des chaînes de caractères allant jusqu'à 65 535 caractères, mais Windows 11 limite le contenu réel à 259 caractères, les arguments de ligne de commande étant l'exception. Cette incompatibilité introduit des incohérences dans l'interprétation des fichiers LNK selon les plateformes.

Les attaquants exploitent cette faille en créant des fichiers LNK qui semblent valides ou non valides selon l'analyseur, permettant ainsi :

• Exécution de commandes inattendues ou cachées
• Éviter la détection par l'interface utilisateur Windows et les outils d'analyse tiers

En combinant cela avec des techniques de remplissage d'espaces blancs, les adversaires masquent efficacement la véritable intention du raccourci, augmentant ainsi les chances d'exécution réussie sans alerter les utilisateurs ou les outils de sécurité.

Chaîne d’infection : archives ZIP, leurres et chargement latéral de DLL

Les neuf fichiers LNK malveillants identifiés ont été distribués dans des archives ZIP, chacune contenant une autre archive ZIP regroupant :

• Un document PDF leurre
• Un exécutable légitime renommé
• Une DLL malveillante chargée latéralement par le binaire

Cette DLL, nommée ETDownloader, sert de charge utile de première étape conçue pour télécharger l'implant principal - XDigo.

XDigo : un voleur de données raffiné

XDigo est un implant de malware basé sur Go, considéré comme une évolution d'UsrRunVGA.exe, précédemment documenté en octobre 2023. Il est équipé pour :

• Récolter les fichiers locaux.
• Capturez le contenu du presse-papiers.
• Prendre des captures d'écran.
• Exécutez des commandes ou des binaires récupérés à partir d'un serveur distant via HTTP GET.
• Exfiltrez les données volées à l'aide de requêtes HTTP POST.

Cette fonctionnalité confirme le rôle de XDigo en tant que voleur orienté espionnage conçu pour la collecte d'informations furtives.

Profil cible et cohérence tactique

Les enquêteurs ont confirmé au moins une cible dans la région de Minsk, et d'autres indices suggèrent des opérations contre des groupes de distribution, des institutions financières, des compagnies d'assurance et des services postaux gouvernementaux russes. Cette victimologie correspond étroitement à l'orientation historique de XDSpy, notamment vers l'Europe de l'Est et la Biélorussie.

Techniques d’évasion et sophistication tactique

XDSpy a démontré une forte capacité à contourner les défenses modernes. Son malware a notamment été le premier à tenter d'échapper à une solution sandbox spécifique, témoignant ainsi d'un haut degré de personnalisation et d'adaptabilité face à l'évolution des environnements de sécurité.

Résumé : Principaux points à retenir

La campagne XDigo met en œuvre un mélange sophistiqué de techniques et de stratégies de ciblage. Elle impliquait l'exploitation d'une vulnérabilité Windows identifiée comme ZDI-CAN-25373 via des fichiers LNK spécialement conçus, ainsi que la manipulation d'incohérences d'analyse LNK pour masquer toute activité malveillante. Les attaquants ont également utilisé le chargement latéral de DLL en utilisant des exécutables légitimes renommés pour charger des composants malveillants. La communication avec l'infrastructure de commande et de contrôle et l'exfiltration des données volées s'effectuaient via des protocoles HTTP standard, permettant ainsi la furtivité et l'évasion.

En termes de ciblage, la campagne a fortement ciblé les entités gouvernementales, notamment en Biélorussie et en Russie. Elle a également étendu sa portée aux secteurs de la finance et de la vente au détail, ainsi qu'aux grandes compagnies d'assurance et aux services postaux nationaux. Cette opération souligne l'innovation constante des acteurs malveillants affiliés à l'État et renforce la nécessité impérieuse d'examiner attentivement même les types de fichiers apparemment inoffensifs, tels que les fichiers LNK, à la recherche de menaces cachées.