Logiciel malveillant LOSTKEYS : un outil d'espionnage furtif ciblant l'Occident

Un nouveau malware, baptisé LOSTKEYS , s'est imposé comme un outil de choix dans une série de cyberopérations secrètes à connotation politique. Détecté pour la première fois fin 2023 et utilisé activement jusqu'au début 2025, LOSTKEYS s'inscrit dans le cadre d'un changement stratégique du groupe de pirates informatiques COLDRIVER, lié à la Russie et connu pour ses campagnes de cyberespionnage ciblant des personnalités et des institutions occidentales de premier plan.

Contrairement aux logiciels malveillants traditionnels conçus pour perturber massivement les systèmes ou voler des fonds, LOSTKEYS est conçu pour des attaques hautement sélectives et ciblées sur les informations. Son objectif principal est d'infiltrer discrètement les systèmes, d'exfiltrer des fichiers sensibles et de restituer des informations clés, tout en échappant à toute détection.

Qu'est-ce que LOSTKEYS ?

LOSTKEYS est un programme malveillant sur mesure capable d'extraire des types de fichiers spécifiques de dossiers spécifiques sur l'ordinateur de la victime. Outre la collecte de fichiers, il transmet également aux attaquants des informations système et des processus en cours d'exécution. LOSTKEYS se distingue par sa précision : il cible uniquement les systèmes jugés précieux, ce qui en fait un outil clairement conçu pour l'espionnage plutôt que pour une compromission à grande échelle.

Le nom du logiciel malveillant pourrait suggérer un caractère aléatoire, mais son déploiement est tout autre. Il a été observé lors d'attaques visant des conseillers gouvernementaux, des militaires, des journalistes, des groupes de réflexion, des ONG et des personnes ayant des liens avec l'Ukraine. La portée spécifique et limitée de ces cibles suggère qu'elles sont utilisées à des fins de renseignement plutôt qu'à des fins criminelles.

Comment ça marche ?

Le processus d'infection commence par une forme avancée d'ingénierie sociale appelée ClickFix . Les victimes sont attirées vers un site web leurre doté d'un faux CAPTCHA. Pensant vérifier leur identité, les utilisateurs sont invités à copier une commande PowerShell et à l'exécuter via la boîte de dialogue Exécuter de Windows. Cette commande lance la chaîne de téléchargement du malware.

Ce qui suit est un processus en plusieurs étapes conçu pour échapper à la détection. La première charge utile effectue des vérifications d'environnement, probablement pour détecter si elle s'exécute sur une machine virtuelle, ce qui est courant dans les laboratoires d'analyse de logiciels malveillants. Si les vérifications d'environnement sont concluantes, la commande récupère un script codé en Base64 qui exécute le logiciel malveillant LOSTKEYS. Une fois exécuté, il analyse discrètement le système hôte à la recherche de types de fichiers et de répertoires prédéfinis, puis envoie les données à un serveur distant.

Qui est derrière tout ça ?

LOSTKEYS a été attribué au groupe de menaces COLDRIVER, également suivi sous des noms tels que Callisto, Star Blizzard et UNC4057. Traditionnellement, ce groupe s'appuyait sur le phishing d'identifiants pour accéder aux comptes de messagerie et voler des communications sensibles. Cependant, LOSTKEYS et son prédécesseur, SPICA , marquent une nouvelle voie : la compromission directe des appareils et l'extraction de données.

Les experts en sécurité soulignent que COLDRIVER agit généralement avec des motivations géopolitiques. Ses cibles et ses tactiques s'alignent étroitement sur les activités d'espionnage soutenues par les États, et ses campagnes passées ont démontré un intérêt pour la politique étrangère, la défense et les médias occidentaux.

Implications de LOSTKEYS

L'apparition de LOSTKEYS reflète une tendance plus générale dans les cyberopérations : l'association d'ingénierie sociale trompeuse et de logiciels malveillants sur mesure pour une surveillance ciblée. Ces tactiques sont subtiles, efficaces et difficiles à tracer, laissant souvent les victimes inconscientes de leur compromission.

Les implications sont considérables. Pour les agences gouvernementales et les organisations travaillant sur des questions sensibles, notamment celles liées à l'Europe de l'Est, le risque de fuites silencieuses de données n'a jamais été aussi élevé. LOSTKEYS n'étant pas conçu pour détruire ou perturber les données, mais pour les collecter discrètement, sa présence peut passer inaperçue pendant de longues périodes.

De plus, l'utilisation croissante de tactiques comme ClickFix illustre l'adaptation des attaquants. Plutôt que de tenter de percer les défenses renforcées, ils exploitent le comportement humain, persuadant les utilisateurs d'exécuter eux-mêmes des commandes malveillantes. Cette approche permet de contourner de nombreux contrôles de sécurité et protections antivirus traditionnels.

Une tendance plus large

LOSTKEYS n'agit pas de manière isolée. D'autres acteurs malveillants ont réutilisé la méthode ClickFix pour diffuser différentes souches de logiciels malveillants, notamment des chevaux de Troie bancaires et des logiciels de vol de données spécifiques aux Mac. Des techniques telles qu'EtherHiding , qui dissimule du code malveillant dans les transactions blockchain, sont intégrées à ces campagnes, rendant la détection encore plus difficile.

Un chercheur a récemment découvert une campagne massive appelée MacReaper, au cours de laquelle plus de 2 800 sites web légitimes ont été compromis pour diffuser de fausses pages CAPTCHA. Ces points d'entrée trompeurs servent à diverses familles de logiciels malveillants, dont Atomic Stealer , qui cible les systèmes macOS.

Rester informé et en sécurité

Bien que la sophistication technique de LOSTKEYS et de ses mécanismes de diffusion soit préoccupante, la meilleure défense reste la vigilance. Les utilisateurs doivent être prudents lorsqu'ils sont invités à exécuter des commandes inconnues ou à interagir avec des formulaires web inattendus. Les organisations, en particulier celles qui traitent des données ou des politiques sensibles, doivent continuer à investir dans la formation, la protection des terminaux et la veille sur les menaces.

LOSTKEYS rappelle que les menaces modernes se présentent souvent sous des formes subtiles. Ce ne sont pas les acteurs bruyants, mais les opérateurs discrets qui peuvent représenter le plus grand risque pour la sécurité à l'ère numérique.

Par Willa
May 8, 2025
Malware
Français
May 8, 2025
Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 21 days

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Comprendre et atténuer la menace de W32.AIDetectMalware

Il y a 10 months

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months

Pourquoi les utilisateurs sont surpris lorsqu'ils trouvent...

Il y a 2 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.