Le malware DslogdRAT cible les organisations et leurs données

malware

DslogdRAT est une menace de cybersécurité majeure, qui représente le dernier outil d'une série d'intrusions cybernétiques sophistiquées ciblant les systèmes critiques dans le monde entier.

Qu'est-ce que DslogdRAT ?

DslogdRAT a été découvert après que des experts en cybersécurité ont découvert son installation suite à l'exploitation d'une vulnérabilité désormais résolue dans Ivanti Connect Secure (ICS) , une solution d'accès à distance largement utilisée. La faille en question, identifiée comme CVE-2025-0282, permettait aux attaquants d'exécuter du code à distance sans authentification de l'utilisateur. Bien qu'Ivanti ait corrigé la vulnérabilité avec un correctif début janvier 2025, des acteurs malveillants l'exploitaient déjà activement comme une faille zero-day lors de cyberattaques, notamment au Japon, dès décembre 2024.

Un peu d'histoire sur DslogdRAT

L'exploitation de cette vulnérabilité a été attribuée à un groupe d'espionnage lié à la Chine, connu sous le nom d'UNC5337. Ce groupe a exploité la faille non seulement pour diffuser le DslogdRAT récemment découvert, mais aussi pour déployer un ensemble d'outils malveillants connu sous le nom d'écosystème de malwares SPAWN, aux côtés d'autres souches comme DRYHOOK et PHASEJAM. Il est intéressant de noter que si SPAWN a été attribué à UNC5337, l'utilisation de DRYHOOK et PHASEJAM n'a pas encore été associée à un acteur spécifique.

Pour complexifier encore la situation, des versions mises à jour de SPAWN, nommées SPAWNCHIMERA et RESURGE, ont également été détectées, exploitant la même vulnérabilité. Un autre groupe, UNC5221, aurait exploité une faille distincte dans ICS (CVE-2025-22457) pour propager des variantes de malware similaires. Cependant, les investigations actuelles n'ont pas encore permis de déterminer si DslogdRAT est directement lié à ces opérations plus vastes impliquant SPAWN.

Comment se produisent les attaques

La chaîne d'attaque typique impliquant DslogdRAT commence par l'exploitation de la vulnérabilité CVE-2025-0282 par des attaquants qui implantent un shell web, un script permettant de contrôler à distance un serveur compromis. Ce shell web sert ensuite de tremplin pour déployer DslogdRAT sur les systèmes ciblés.

Une fois intégré, DslogdRAT établit une connexion avec un serveur externe via un socket. Il collecte et transmet des informations de base sur le système infecté et reste prêt à recevoir d'autres commandes. Ces instructions peuvent aller de l'exécution de commandes shell arbitraires au téléchargement de fichiers, voire à l'utilisation de la machine compromise comme proxy pour masquer d'autres activités malveillantes.

Qu'est-ce que cela signifie globalement ?

L'émergence de DslogdRAT intervient dans un contexte d'intensification des activités contre les ICS et systèmes similaires. GreyNoise, une société de renseignement sur les menaces, a signalé une multiplication par neuf des analyses suspectes visant les appliances ICS et Ivanti Pulse Secure (IPS) en seulement 24 heures. Au cours des trois derniers mois, plus de 1 000 adresses IP uniques ont été concernées par ces analyses. Parmi celles-ci, 255 ont été classées comme activement malveillantes, provenant souvent de nœuds de sortie TOR, tandis que 643 sont signalées comme suspectes, principalement liées à des hébergeurs obscurs. Les sources les plus fréquentes de ces analyses sont les États-Unis, l'Allemagne et les Pays-Bas.

Les experts suggèrent que cette augmentation des reconnaissances pourrait être le signe de campagnes coordonnées se préparant à une exploitation future, même si aucune nouvelle vulnérabilité spécifique n'a été officiellement liée à l'analyse observée.

À emporter

L'arrivée de DslogdRAT rappelle aux entreprises les défis persistants auxquels elles sont confrontées pour sécuriser leurs infrastructures numériques. Si la nature technique du malware est préoccupante, sa découverte souligne également l'importance cruciale d'une gestion proactive des correctifs, d'une surveillance rigoureuse de l'activité réseau et d'une réponse rapide aux incidents.

Pour les entreprises et les institutions qui s'appuient sur des technologies d'accès à distance comme Ivanti Connect Secure, le message principal est clair : rester vigilant face aux menaces émergentes n'est pas seulement recommandé, c'est essentiel. Des mises à jour régulières, des mesures complètes de détection des menaces et la formation du personnel aux meilleures pratiques de cybersécurité peuvent contribuer grandement à atténuer les risques posés par des logiciels malveillants comme DslogdRAT.

Alors que la communauté de la cybersécurité continue d'enquêter et de surveiller cette menace, il est conseillé aux organisations d'évaluer leur exposition aux systèmes vulnérables et de renforcer leurs stratégies de défense en conséquence. Bien que le paysage des menaces soit en constante évolution, des réponses éclairées et agiles restent la meilleure défense.

Par Willa
April 28, 2025
Malware
Français
April 28, 2025
Malware

Articles Populaires

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 15 days

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 22 days
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.