Logiciel malveillant XWorm 6.0

Des chercheurs en sécurité ont retracé XWorm, passant d'une infrastructure compacte d'accès à distance à une plateforme hautement modulaire permettant aux opérateurs d'exécuter un large éventail d'opérations malveillantes sur des hôtes Windows compromis. Signalé pour la première fois en 2022 et associé à un groupe utilisant le pseudonyme EvilCoder, XWorm a été activement développé et retravaillé par des individus utilisant les pseudonymes XCoder (développeur principal jusqu'à mi-2024) et, plus récemment, par des vendeurs comme XCoderTools. Son évolution continue et ses réapparitions démontrent la rapidité avec laquelle un outil peut se fragmenter, être reconditionné et réapparaître dans la nature.

Comment XWorm est construit — Noyau + Plugins

L'architecture de XWorm repose sur un petit client qui communique avec un serveur de commande et de contrôle (C2) et un vaste ensemble de charges utiles de plug-ins chargées en mémoire à la demande. Cette conception permet aux opérateurs de conserver le client léger sur un hôte tout en déployant dynamiquement des fonctionnalités (DLL) pour effectuer des tâches spécifiques. L'écosystème du projet comprend également des outils auxiliaires promus par les développeurs : un générateur de malware .NET, un RAT distinct appelé XBinder et un utilitaire qui tente de contourner le contrôle de compte d'utilisateur (UAC) Windows. La communauté de développeurs autour de XWorm a présenté d'autres composants et de faux installateurs (notamment des installateurs malveillants comme ScreenConnect) comme des leurres de distribution.

Chaînes d’infection et techniques de transmission

Les chercheurs ont observé de multiples flux d'infection changeants pour XWorm. Les premières chaînes s'appuyaient sur des messages d'hameçonnage diffusant des fichiers de raccourci Windows (LNK) ; ces LNK exécutaient PowerShell, qui déposait des fichiers leurres (par exemple, un fichier TXT inoffensif) et un exécutable trompeur (se faisant souvent passer pour Discord) qui, au final, lançait la véritable charge utile. Des campagnes plus récentes diffusant la famille 6.x ont utilisé des pièces jointes JavaScript malveillantes dans des e-mails d'hameçonnage. Ces pièces jointes affichaient un PDF leurre tout en exécutant PowerShell en arrière-plan, injectant XWorm dans des processus légitimes tels que RegSvcs.exe pour éviter toute détection. Les acteurs malveillants ont également diffusé des versions piratées ou trojanisées de composants XWorm via des dépôts GitHub, des sites de partage de fichiers, des chaînes Telegram et YouTube, tentant ainsi de piéger des opérateurs moins expérimentés pour qu'ils installent des outils de compilation utilisant des portes dérobées.

Fonctionnalités d’évasion, de télécommande et d’opérateur

XWorm intègre plusieurs contrôles anti-analyse qui interrompent l'exécution lorsqu'il détecte des indicateurs de virtualisation ou de sandbox. Une fois activé, le client accepte les commandes du C2 couvrant les opérations RAT courantes (transfert de fichiers, manipulation de processus et de services, exécution de commandes shell, ouverture d'URL), le contrôle du système (arrêt/redémarrage) et des actions plus agressives comme le lancement d'une attaque DDoS. Le modèle de plug-in modulaire permet à un opérateur distant d'exécuter plus de 35 charges utiles DLL différentes en mémoire sans les écrire sur le disque, offrant à XWorm une surface d'attaque flexible tout en réduisant les traces d'analyse forensique.

Protocole de livraison de plugins

XWorm 6.x implémente un protocole de plug-in basé sur le hachage : le C2 exécute une commande « plugin » contenant le hachage SHA-256 de la DLL demandée, ainsi que les arguments d'exécution. Le client vérifie si ce plug-in est déjà en cache ; dans le cas contraire, il demande le fichier avec « sendplugin ». Le serveur répond par une commande « savePlugin » contenant le plug-in sous forme de blob base64 et son hachage SHA-256. Le client décode le blob, vérifie le hachage et charge la DLL directement en mémoire pour exécution.

Plugins notables et leurs fonctions

• RemoteDesktop.dll — établit une session à distance interactive.
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — vol d'informations d'identification et de données du système d'exploitation et des applications (clés Windows, mots de passe Wi-Fi, informations d'identification stockées dans le navigateur, y compris les contournements pour le chiffrement lié aux applications et les collecteurs pour FileZilla, Discord, Telegram, MetaMask).
• FileManager.dll — accès et manipulation du système de fichiers.
• Shell.dll — exécution cachée des commandes de l'opérateur via cmd.exe.
• Informations.dll — empreinte digitale hôte/système.
• Webcam.dll — capture des images/vidéos de webcam pour confirmer une vraie victime.
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — énumère les connexions réseau, les fenêtres actives et les entrées de démarrage automatique.
• Ransomware.dll — routines de chiffrement/déchiffrement de fichiers (partage le code avec le ransomware de type NoCry).
• Rootkit.dll — installe un rootkit r77 modifié.
• ResetSurvival.dll — modifie le registre Windows pour survivre à certaines réinitialisations de l'appareil.

D'autres logiciels malveillants distribués via des infections XWorm incluent :

• Voleur de nuages sombres
• Ver (RAT VBS)
• Enregistreur de frappe Snake
• Mineurs de pièces de monnaie
• Logiciel malveillant pur
• ShadowSniff (voleur de rouille, open source)
• Voleur fantôme
• Voleur de phémédrone

• Remcos RAT

Revers opérationnels, fragmentation et fourches militarisées

Le développement de XWorm n'a pas été linéaire. Au second semestre 2024, le personnage XCoder a brutalement supprimé sa présence sur Telegram, jetant le doute sur l'avenir du projet. Cette interruption a cependant donné lieu à des activités opportunistes : des paquets XWorm v5.6 piratés, eux-mêmes infectés par des chevaux de Troie pour infecter d'autres acteurs malveillants, et des campagnes d'ingénierie sociale ciblant les « script kiddies » via GitHub et d'autres canaux publics. Ces campagnes, selon les chercheurs, ont tenté de compromettre des dizaines de milliers d'appareils (plus de 18 000, selon les estimations).

Les analystes ont également découvert des forks modifiés, notamment une variante appelée XSPY (origine signalée : variante en chinois) et une vulnérabilité critique d'exécution de code à distance (RCE) dans certaines versions, permettant à une personne possédant la clé de chiffrement C2 d'exécuter du code arbitraire sur des hôtes infectés. La fragmentation de la boîte à outils complique l'attribution et le démantèlement ; différents vendeurs et forks peuvent apparaître et disparaître indépendamment.

Le renouveau de 2025 : XWorm 6.0 et l’activité du marché

Le 4 juin 2025, un fournisseur se faisant appeler XCoderTools a publié XWorm 6.0 sur des forums de cybercriminalité au prix de 500 $ pour un accès à vie, affirmant que la version avait été entièrement reprogrammée et que la faille RCE signalée précédemment avait été corrigée. On ignore si cette version provenait de l'auteur original ou d'un tiers utilisant la marque XWorm. Les échantillons XWorm 6.0 observés sont configurés pour contacter un C2 à l'adresse 94.159.113[.]64 sur le port 4411 et implémenter le protocole de plug-in décrit ci-dessus, permettant ainsi la livraison rapide en mémoire de dizaines de modules DLL.

En résumé

Le cycle de vie de XWorm — du développement actif à l'abandon, puis à la réapparition sous de nouveaux vendeurs et dans des versions piratées par des chevaux de Troie — rappelle que les malwares constituent un écosystème. Même si l'auteur original disparaît, son code peut être dupliqué, utilisé comme arme et redéployé par d'autres. Les défenseurs doivent donc privilégier des contrôles résilients et des stratégies de détection qui partent du principe que les adversaires réutiliseront et reconditionneront les outils existants.