Logiciel malveillant SNOWLIGHT : comment une souche malveillante met en évidence l'évolution des tactiques

Une nouvelle vague de cyberactivité a révélé une nouvelle variante du malware SNOWLIGHT, un outil qui, bien que déjà connu dans le monde de la cybersécurité, est désormais utilisé de manière de plus en plus complexe et subtile. Liée au groupe d'acteurs malveillants UNC5174 (qui aurait des liens avec la Chine), cette souche de malware s'inscrit dans une évolution stratégique plus large du mode opératoire des attaquants, combinant tactiques avancées et outils gratuits pour brouiller les pistes.

Que cible-t-il ?

SNOWLIGHT s'est imposé comme un élément central d'une campagne récemment identifiée ciblant les systèmes Linux , mais dont les capacités s'étendent également à macOS. Cette campagne implique également le déploiement d'un outil d'accès à distance moins connu appelé VShell, un cheval de Troie open source. Si ces noms peuvent paraître obscurs, leur utilisation révèle un problème bien plus inquiétant : les attaquants trouvent des moyens toujours plus sophistiqués pour se dissimuler, ce qui complique plus que jamais la tâche des défenseurs pour distinguer les menaces sérieuses du bruit Internet habituel.

Ce qui rend cette campagne remarquable, c'est l'utilisation délibérée d'outils open source comme VShell et SUPERSHELL, un autre composant de l'infrastructure d'attaque. Grâce à ces outils, les acteurs malveillants peuvent échapper à la détection et réduire le coût et le temps nécessaires au développement de logiciels malveillants propriétaires. Plus important encore, ils peuvent facilement masquer leurs activités, ce qui rend plus difficile l'attribution d'attaques à des groupes ou à des gouvernements spécifiques.

L'évolution de SNOWLIGHT

UNC5174, également connu sous le nom d'Uteus ou Uetus, a été observé pour la première fois avec SNOWLIGHT lors d'attaques exploitant des vulnérabilités d'outils d'entreprise populaires tels que Connectwise ScreenConnect et F5 BIG-IP. Ces attaques visaient à installer un téléchargeur en C pour récupérer des charges utiles supplémentaires, notamment des utilitaires de tunneling et des portes dérobées inversées comme GOHEAVY et GOREVERSE. Ces deux outils permettent un accès et un contrôle à distance non autorisés, une caractéristique des opérations de cyberespionnage modernes.

Selon les chercheurs, SNOWLIGHT sert de dropper, une sorte de système de distribution, pour VShell. Une fois dans un système, SNOWLIGHT peut exécuter un script bash qui déploie des binaires furtifs, dont un composant pour la journalisation DNS et un autre lié au framework de commande et de contrôle Sliver. Ces éléments fonctionnent ensemble pour établir la persistance et maintenir une connexion secrète à un serveur distant, permettant aux attaquants de contrôler les systèmes infectés sans laisser de traces.

Ce qui est particulièrement frappant dans cette approche, c'est l'évolution vers des logiciels malveillants « sans fichier ». Dans le cas observé plus tôt cette année, VShell est injecté directement en mémoire plutôt que sauvegardé sur le disque. Cette méthode contourne les mécanismes de détection traditionnels et permet à l'attaquant d'exécuter des commandes, de transférer des fichiers et d'effectuer d'autres actions sans déclencher les alarmes habituelles.

Les implications du développement de logiciels malveillants

Ces évolutions ont des implications plus vastes. Les experts en cybersécurité soulignent une tendance croissante : des adversaires moyennement compétents peuvent désormais mener des attaques qui nécessitaient autrefois des ressources à l'échelle d'un État. Grâce à des outils comme VShell et SNOWLIGHT, disponibles et modifiés à partir de bases de code publiques, les barrières à l'entrée s'effondrent. Il est ainsi plus facile pour les groupes pro-État de se dissimuler parmi des attaquants moins sophistiqués et d'opérer dans la zone grise, entre espionnage et criminalité.

Les agences de sécurité mondiales surveillent également de près l'activité d'UNC5174 et de groupes similaires. Par exemple, l'Agence nationale de sécurité des systèmes d'information (ANSSI ) a signalé que des attaquants utilisant des outils similaires ont exploité des failles critiques dans les appliances de service cloud Ivanti pour exécuter du code arbitraire. Cette technique reflète celle observée lors des campagnes liées à SNOWLIGHT, renforçant la probabilité d'opérations transfrontalières coordonnées.

De plus, les données d'analyse forensique issues de récentes soumissions de logiciels malveillants en Chine indiquent que l'écosystème des logiciels malveillants est en pleine expansion. Les artefacts montrent que SNOWLIGHT et VShell sont capables de cibler les systèmes macOS, certaines versions se faisant passer pour des logiciels légitimes, comme une fausse application d'authentification Cloudflare, ce qui témoigne de méthodes de diffusion de plus en plus trompeuses.

Ces révélations interviennent dans un contexte de tensions accrues et d'accusations de cyberespionnage entre les puissances mondiales. Des responsables chinois, par exemple, ont récemment accusé l'Agence de sécurité nationale américaine d'avoir orchestré des cyberattaques contre des infrastructures critiques et des événements majeurs comme les Jeux asiatiques d'hiver . Bien que ces allégations s'inscrivent dans des discours géopolitiques récurrents, elles soulignent l'imbrication de la cybersécurité et des relations internationales.

En résumé

Pour les entreprises, le constat est clair : la vigilance n’est plus une option. La convergence d’outils sophistiqués, la disponibilité de l’open source et des méthodes de déploiement subtiles rendent les menaces comme SNOWLIGHT plus difficiles à détecter et plus dangereuses à long terme. Les stratégies de cyberdéfense doivent s’adapter rapidement, en se concentrant non seulement sur les signatures de logiciels malveillants connus, mais aussi sur la détection comportementale, l’analyse forensique de la mémoire et la chasse proactive aux menaces.

Même si SNOWLIGHT n’est pas un nom familier, sa présence dans les attaques récentes nous rappelle qu’à l’ère numérique, même les menaces les plus silencieuses peuvent projeter de longues ombres.

Par Willa
April 16, 2025
Malware
Français
April 16, 2025
Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.