Logiciel malveillant BEARDSHELL : un chapitre différent de l'espionnage numérique

Une autre menace dans le cyberespace

Une autre porte dérobée, connue sous le nom de BEARDSHELL , a fait son apparition, marquant une nouvelle manœuvre sophistiquée du groupe malveillant APT28, lié à la Russie. Les autorités ukrainiennes ont identifié ce malware comme une cybercampagne ciblée visant les infrastructures gouvernementales, illustrant ainsi la manière dont les cyberattaques modernes combinent désormais harmonieusement ingénierie sociale, méthodes de diffusion furtives et frameworks de malwares multicouches.

Qu'est-ce que BEARDSHELL ?

BEARDSHELL est un programme malveillant écrit en C++ qui sert de porte dérobée d'accès à distance. Une fois installé sur la machine d'une victime, il peut exécuter des scripts PowerShell à la demande et renvoyer discrètement les résultats à un serveur distant via le service de partage de fichiers Icedrive. Ce niveau de fonctionnalité permet aux attaquants de maintenir une présence persistante sur les systèmes infectés tout en collectant des informations sans éveiller immédiatement les soupçons.

Découvert par l'équipe ukrainienne d'intervention d'urgence informatique (CERT-UA) lors d'enquêtes menées entre mars et avril 2024, BEARDSHELL a été découvert en association avec un outil distinct conçu pour prendre des captures d'écran, baptisé SLIMAGENT. Ensemble, ces outils indiquent une intention claire : surveiller et extraire silencieusement les données des terminaux infectés.

Signal, macros et logiciels malveillants : la chaîne de distribution inhabituelle

Ce qui rend cette campagne encore plus alarmante est peut-être son nouveau mécanisme de diffusion. Au lieu des e-mails d'hameçonnage classiques, les attaquants ont utilisé Signal , une plateforme de messagerie sécurisée, pour envoyer des documents Microsoft Word contenant des macros – une approche non conventionnelle qui contourne les filtres de sécurité traditionnels. Le document en question, nommé trompeusement « Акт.doc », contenait des instructions intégrées qui installeraient plusieurs charges malveillantes sur le système ciblé.

À l'ouverture du document, deux fichiers sont déposés : une DLL malveillante nommée ctec.dll et un fichier image windows.png. La DLL est configurée pour se lancer au démarrage de l'Explorateur de fichiers Windows, chargeant un shellcode malveillant à partir du fichier PNG, apparemment inoffensif. Ce shellcode initialise le framework COVENANT, résidant en mémoire, qui joue un rôle crucial dans le téléchargement et le lancement de la porte dérobée BEARDSHELL.

Pourquoi c'est important : les implications plus larges

L'émergence de BEARDSHELL n'est pas un événement isolé. Sa présence témoigne des tactiques persistantes et adaptatives employées par les acteurs malveillants pour infiltrer et surveiller les infrastructures numériques critiques. En dissimulant des logiciels malveillants dans des fichiers multimédias et en exploitant des plateformes fiables comme Signal pour leur diffusion, APT28 témoigne d'une évolution vers des techniques hautement évasives.

De plus, ces opérations ne se limitent pas à un risque théorique. Les systèmes de messagerie électronique du gouvernement ukrainien auraient été compromis par une combinaison d'ingénierie sociale et d'exploitation de vulnérabilités dans des plateformes de messagerie web largement utilisées comme Roundcube , Horde et Zimbra. Le logiciel malveillant a non seulement permis un accès non autorisé, mais a également permis aux attaquants de siphonner discrètement des données telles que des e-mails, des carnets d'adresses et des informations de session.

Un aperçu du manuel de jeu des attaquants

Ce qui rend cette campagne particulièrement sophistiquée réside dans l'utilisation de multiples couches et outils pour obtenir, maintenir et escalader les accès. Le malware BEARDSHELL n'agit pas de manière isolée : il s'inscrit dans une chaîne plus vaste impliquant plusieurs autres composants malveillants. Une fois l'accès initial obtenu, généralement via un document Word ou un e-mail de phishing, les attaquants déploient des scripts qui manipulent les paramètres du registre Windows, exploitent les vulnérabilités de script intersite (XSS) et injectent même des commandes SQL malveillantes pour collecter des données.

Les attaquants utilisent également plusieurs exploits JavaScript, chacun ayant un objectif précis. Une variante redirige les e-mails entrants vers un serveur tiers, une autre collecte des informations de base de données et une troisième exécute des commandes arbitraires sur les serveurs de messagerie compromis. Ces tactiques témoignent d'une volonté délibérée et bien orchestrée de rester ancré dans l'écosystème numérique de la cible.

Garder une longueur d'avance sur la menace : que peut-on faire ?

Si les méthodes de BEARDSHELL sont complexes, les stratégies de défense n'ont pas besoin de l'être. Le CERT-UA recommande de surveiller le trafic vers les domaines associés à cette campagne, en particulier app.koofr.net et api.icedrive.net, comme première étape pour détecter les signes de compromission. Maintenir les systèmes à jour, appliquer des correctifs aux vulnérabilités connues des logiciels de messagerie et désactiver l'exécution des macros par défaut sont autant de mesures défensives essentielles.

Les organisations sont également encouragées à former leur personnel à reconnaître les signes d'ingénierie sociale, notamment les demandes de documents inhabituelles ou les méthodes de communication hors bande comme Signal. À une époque où le maillon faible est souvent humain, la formation reste l'un des meilleurs remparts.

Un champ de bataille cybernétique en évolution

BEARDSHELL représente le type d'opération cybernétique furtive et multidimensionnelle de plus en plus courante dans les campagnes d'espionnage modernes. Si sa sophistication technique est remarquable, elle souligne également les tensions géopolitiques plus larges qui se jouent dans le cyberespace. Rester informé, vigilant et proactif reste la meilleure défense contre les menaces qui évoluent aussi vite que les technologies sur lesquelles nous comptons.

Par Willa
June 25, 2025
Malware
Français
June 25, 2025
Malware

Articles Populaires

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 2 months

Omg.adult est un site Web destiné aux adultes qui pourrait...

Il y a 6 months

Risque fondamental caché dans les systèmes Linux :...

Il y a 6 days

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 9 months

L'arnaque par courrier électronique de Proton.me vise à voler...

Il y a 9 months

Comprendre et atténuer la menace de W32.AIDetectMalware

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.