● Silicon.fr Télécom 📅 17/06/2026 à 13:13

📡 Télécom & Opérateurs 👤 Philippe Leroy

🏷️ Tags : réseau

Il y a les cyberattaques qui font la une, avec leurs rançongiciels paralysant des hôpitaux ou leurs coupures de courant spectaculaires. Et il y a celles, beaucoup plus silencieuses, qui visent à rester invisibles pendant des années. C’est dans cette seconde catégorie qu’opère Gamaredon, un groupe de pirates informatiques que les services ukrainiens attribuent directement au FSB, l’héritier du KGB. Sa cible : les administrations, l’armée et les infrastructures critiques ukrainiennes, espionnées sans relâche depuis plus d’une décennie. SekoiaCe qui inquiète aujourd’hui n’est pas tant la nouveauté de la cible que la sophistication du camouflage. Dans une enquête très détaillée, l'entreprise française Sekoia.io, qui surveille les groupes de pirates liés à des États, décrit comment Gamaredon a quasiment abandonné les outils de piratage « faits maison » pour se nicher dans des services comme Telegram, l'infrastructure de Cloudflare ou encore le logiciel de compression de fichiers WinRAR, installé sur des millions d'ordinateurs dans le monde. Une clé USB ou un mail piégé comme porte d'entrée Tout commence, sans surprise, par un mail. Les chercheurs de Sekoia ont mis la main sur un document piégé envoyé aux victimes, qui ouvre une archive compressée au format RAR. Mauvaise nouvelle pour les utilisateurs retardataires : cette archive exploite une faille de sécurité critique dans WinRAR (CVE-2025-8088), corrigée par l'éditeur dès août 2025, mais visiblement pas par tout le monde. D'après les recherches de Google Threat Intelligence, cette même faille a aussi été utilisée par d'autres groupes de pirates russes comme Sandworm et Turla, ainsi que par des groupes chinois. La faille permet de déposer un fichier malveillant directement dans le dossier de démarrage de Windows, sans que l'utilisateur s'en aperçoive. Au prochain redémarrage de l'ordinateur, le piège se referme automatiquement. Une fois la machine infectée, le logiciel espion peut aussi se propager physiquement, en infectant les clés USB connectées à l'appareil. C'est une technique redoutable pour atteindre les réseaux dits « air-gapped », ces systèmes sensibles volontairement déconnectés d'Internet. Telegram et Cloudflare comme standards téléphoniques clandestins L'élément le plus frappant de l'enquête concerne la manière dont les pirates pilotent leurs logiciels à distance. Plutôt que d'utiliser des serveurs informatiques facilement repérables et bloquables, Gamaredon a choisi de cacher ses instructions sur des plateformes que les systèmes de sécurité ont l'habitude de laisser passer sans broncher. Le logiciel espion va ainsi consulter une page Telegram publique, accessible sans même avoir de compte ni l'application installée, pour y récupérer une adresse codée. Il fait de même avec Telegra.ph, l'outil de publication d'articles propre à Telegram, avec Teletype, une autre plateforme de blogs, ou encore avec des sous-domaines hébergés gratuitement sur l'infrastructure de Cloudflare. À chaque étape, une nouvelle adresse est récupérée et stockée dans le registre Windows de la machine infectée, formant une chaîne de relais quasiment impossible à couper d'un seul coup. Fermer un seul de ces canaux ne suffit pas, puisque les autres prennent immédiatement le relais. Cette technique, baptisée " Dead Drop Resolvers " par les spécialistes, en référence aux boîtes aux lettres mortes utilisées par les espions de la guerre froide, permet aux opérateurs russes de changer leur infrastructure de pilotage à la volée, sans jamais avoir à renvoyer un nouveau logiciel à leurs victimes. Un ver qui se cache dans les recoins du disque dur Pour assurer sa survie, le logiciel malveillant, que les chercheurs ont rebaptisé GammaWorm dans une tentative de clarifier la nomenclature éclatée de ce type de menaces, utilise une fonctionnalité méconnue du système de fichiers de Windows, les « flux de données alternatifs » (Alternate Data Streams). Conçue à l'origine pour assurer une compatibilité avec les anciens ordinateurs Macintosh, cette fonctionnalité permet d'attacher des données invisibles à un fichier ou un dossier parfaitement normal, sans que cela n'apparaisse dans l'explorateur de fichiers ni ne modifie la taille apparente du dossier. Autant dire un coffre-fort caché dans le mur, que seule une commande très spécifique permet de révéler. Le logiciel espion s'installe également via des tâches planifiées portant des noms volontairement anodins et techniques (DiskDiagnosticDataCollector, SilentCleanup ) censées évoquer des outils de maintenance Windows plutôt que des espions. Sur les clés USB et les disques partagés en réseau, la méthode est particulièrement vicieuse. Le logiciel rend invisibles les dossiers légitimes de l'utilisateur et les remplace par de faux raccourcis portant exactement le même nom et la même icône. En cliquant, ces raccourcis piégés ouvrent bien le dossier d'origine, donnant l'illusion que tout est normal, tout en exécutant silencieusement le programme espion en arrière-plan. Des leurres qui jouent sur les peurs de la guerre Pour inciter les utilisateurs à cliquer sur les bons fichiers, les pirates misent sur l'ingénierie sociale, en jouant sur l'actualité tragique du pays visé. Les chercheurs de Sekoia ont retrouvé des noms de fichiers leurres en ukrainien évoquant des convocations militaires, des listes de matériel de soldats tués au combat, ou des documents prétendument classifiés. Certains noms de fichiers, plus choquants, misent sur des contenus à caractère explicite pour pousser la victime à ouvrir le piège par simple curiosité malsaine. Le point le plus préoccupant relevé par les chercheurs tient à l'architecture même de cette opération : chaque étape de l'infection constitue, à elle seule, une porte dérobée complète. Autrement dit, même si une victime parvient à supprimer une partie du logiciel malveillant, n'importe quel composant restant suffit aux opérateurs russes pour reprendre la main, télécharger de nouveaux outils et poursuivre l'espionnage. Sekoia recommande d'ailleurs aux organisations touchées une réinstallation complète des machines infectées plutôt qu'un simple nettoyage, jugé insuffisant face à la redondance du système. L'enquête illustre une tendance de fond du renseignement russe documentée par plusieurs agences de cybersécurité occidentales. A mesure que les outils de piratage « maison » deviennent plus faciles à détecter, les services de renseignement privilégient des techniques se dissimulant dans le trafic numérique ordinaire des entreprises et des particuliers.

🔗 Lire l'article original 👁️ 2 lectures