Le malware OneClik se cache à la vue de tous
Table of Contents
Une nouvelle forme d'intrusion cybernétique
Des experts en cybersécurité ont découvert une campagne de malware hautement ciblée appelée OneClik . Cette opération n'est pas une attaque dispersée classique : il s'agit d'une action ciblée visant directement des secteurs à forte valeur ajoutée comme l'énergie, le pétrole et le gaz. OneClik se distingue par son utilisation de la technologie ClickOnce de Microsoft, un outil légitime conçu pour faciliter le déploiement de logiciels pour les utilisateurs. Les attaquants l'ont plutôt transformée en arme pour introduire discrètement des portes dérobées dans des systèmes critiques.
Vivre de la terre : la stratégie d'évitement des attaquants
Plutôt que de s'appuyer sur des logiciels malveillants bruyants qui déclenchent des alarmes, OneClik adopte une approche plus subtile. La campagne s'inscrit dans une tendance plus large du secteur, connue sous le nom de « techniques de survie », qui consiste à utiliser des outils et plateformes système fiables pour opérer sans être détectés. Les attaquants intègrent des processus malveillants aux flux de travail habituels de l'entreprise, rendant la détection extrêmement difficile. Bien que certaines caractéristiques suggèrent des liens avec des groupes malveillants affiliés à la Chine, les analystes en sécurité restent prudents quant à l'attribution des responsabilités.
Du phishing au contrôle total
La chaîne d'attaque commence par un e-mail de phishing d'une simplicité trompeuse. Les victimes sont redirigées vers un faux site web imitant un outil d'analyse matérielle légitime. Lors de la visite, ce site diffuse discrètement une application ClickOnce. Bien que cela puisse paraître inoffensif, l'application est en réalité un chargeur .NET qui déclenche une chaîne d'événements complexe. Au cœur de cette chaîne se trouve une puissante porte dérobée appelée RunnerBeacon .
RunnerBeacon : l'implant central
Conçu avec le langage de programmation Go, RunnerBeacon est conçu pour être furtif et polyvalent. Il communique avec ses opérateurs via différents protocoles, dont HTTPS, TCP brut et même des canaux nommés Windows. Cela permet au malware d'effectuer un large éventail d'activités : lecture et modification de fichiers, analyse des réseaux internes, exécution de commandes shell, vol de jetons pour l'élévation des privilèges et déplacement latéral sur le réseau. Ce n'est pas seulement une intrusion, c'est une boîte à outils pour compromettre profondément le système.
Aucun droit d'administrateur requis : l'importance de ClickOnce
L'une des astuces les plus astucieuses de la campagne réside dans l'utilisation abusive de ClickOnce. Cette technologie Microsoft est généralement utilisée pour installer des logiciels sans avoir besoin de privilèges d'administrateur. Les attaquants l'exploitent pour lancer leurs logiciels malveillants sans déclencher d'alerte ni demander d'autorisations suspectes. L'application malveillante s'exécute via un processus Windows fiable, dfsvc.exe, et utilise une tactique rare appelée injection AppDomainManager pour exécuter du shellcode chiffré en mémoire, rendant la récupération forensique difficile.
Pas un cas isolé : l'évolution des variantes dans la nature
Il ne s'agit pas d'une seule souche de malware, mais d'une famille en pleine expansion. Les chercheurs en sécurité ont identifié plusieurs variantes de OneClik apparues rien qu'en 2025, chaque version étant plus perfectionnée que la précédente. Des noms comme v1a , BPI-MDM et v1d indiquent un ensemble d'outils en pleine maturité, conçus pour l'évasion et la persistance. En fait, les premières observations de la porte dérobée RunnerBeacon remontent à 2023, ce qui suggère une campagne qui a fonctionné et évolué discrètement au fil du temps.
Implications plus larges : ce que cela signifie pour les entreprises
Les implications de l'activité de OneClik sont considérables. Sa capacité à passer inaperçue, à contourner les exigences d'élévation de privilèges et à opérer au sein de systèmes de confiance le rend particulièrement dangereux pour les secteurs s'appuyant sur des systèmes hérités ou des protections minimales des terminaux. Les antivirus et pare-feu traditionnels pourraient ne pas le détecter. Les entreprises du secteur des infrastructures doivent s'interroger sur la capacité de leurs défenses actuelles à faire face à ce type d'attaque.
Voici quelques signes clés qui pourraient suggérer une intrusion de type OneClik :
- Trafic sortant inhabituel vers AWS ou d'autres services cloud
- Processus enfants inconnus de dfsvc.exe
- Utilisation d'AppDomainManager ou d'assemblys .NET suspects
- Élévations progressives des privilèges sans alertes
Un modèle mondial : connexions avec d'autres acteurs de la menace
Bien que l'attribution reste floue, les chercheurs ont constaté des similitudes entre les techniques de OneClik et celles utilisées par des groupes liés à des États en Asie du Nord-Est. Une campagne menée par un groupe connu sous le nom d' APT-Q-14 a également exploité les applications ClickOnce, exploitant cette fois une faille XSS zero-day dans un service de messagerie web pour installer un logiciel malveillant sans aucun clic. Ce chevauchement des tactiques suggère soit un outil partagé, soit une stratégie commune aux acteurs malveillants régionaux.
L'adaptabilité est la nouvelle arme
Ce qui distingue OneClik des malwares traditionnels, c'est sa flexibilité. Il ne s'appuie pas sur des vulnérabilités majeures ni sur des méthodes de force brute. Au contraire, il s'adapte. Il utilise des plateformes fiables comme AWS, masque ses communications et évolue en temps réel. Ceci illustre une évolution plus large des cybermenaces : l'abandon du volume au profit de la furtivité et de la précision.
Réflexions finales
La campagne OneClik rappelle clairement que même les technologies légitimes peuvent être détournées à des fins malveillantes. Pour les équipes de sécurité, cela implique de dépasser les protections superficielles et d'investir dans l'analyse comportementale, la détection des anomalies et la surveillance avancée. Alors que les acteurs malveillants perfectionnent sans cesse leurs méthodes, les défenseurs doivent faire preuve d'agilité et de perspicacité. L'avenir de la cybersécurité réside dans la compréhension non seulement des agissements des attaquants, mais aussi de leur discrétion.
