APT37 frappe : la nouvelle porte dérobée Rust met en danger les utilisateurs sud-coréens !

APT37 frappe : la nouvelle porte dérobée Rust met en danger les utilisateurs sud-coréens !

Une nouvelle vague d'attaques suscite l'enthousiasme dans le monde dynamique de la cybersécurité : le groupe nord-coréen APT APT37, également connu sous les noms de LScarCruft, Ruby Sleet ou Velvet Chollima, a considérablement élargi son arsenal de logiciels malveillants. Ce qui attire particulièrement l'attention, c'est une nouvelle porte dérobée basée sur le langage de programmation Rust appelée « Rustonotto », qui attaque spécifiquement les systèmes Windows. Security Insider a publié ces informations.

Les schémas d'attaque d'APT37 ont été principalement enregistrés en Corée du Sud. Ces attaques utilisent des raccourcis Windows malveillants ou des fichiers d'aide HTML compilés (CHM) comme point d'entrée. Toutes les activités s'exécutent via un seul serveur de commande et de contrôle, de sorte que les attaquants conservent le contrôle des systèmes infiltrés. L’analyse des menaces réalisée par le ThreatLabz de Zscaler montre clairement que Rustonotto est actif depuis juin 2025 et qu’il s’agit du premier malware connu basé sur Rust de ce groupe.

Accès singulier et techniques sophistiquées

Les attaques ne semblent pas être dirigées contre des entreprises ou des entités gouvernementales, mais ciblent plutôt des individus ayant des liens avec le régime nord-coréen ou des questions politiques sensibles en Corée du Sud. APT37 utilise une combinaison de plusieurs composants malveillants, notamment l'outil de surveillance « FadeStealer », qui capture non seulement les frappes au clavier, mais prend également des captures d'écran et enregistre des données audio. Ces données sont ensuite compressées dans des archives RAR protégées par mot de passe et transférées vers le serveur C2. Les analyses de sécurité montrent que la compromission se produit grâce à l'utilisation de mesures anti-détection telles que Transactional NTFS et Process Doppelgaging, ce qui rend la détection du malware encore plus difficile, comme l'explique Cyberpress.

Une tâche planifiée déguisée en « MicrosoftUpdate » exécute régulièrement la charge utile Rustonotto, garantissant ainsi un accès permanent aux systèmes concernés. Le malware utilise une combinaison de techniques de codage pour brouiller ses traces et influencer la surveillance.

Les APT et leurs objectifs

Le BSI (Office fédéral pour la sécurité de l'information) surveille depuis longtemps les activités de ces équipes d'attaque. Dans leurs rapports, ils documentent les objectifs stratégiques de ces groupes, qui peuvent évoluer au fil du temps. Le paysage actuel des menaces est caractérisé par des groupes d'attaquants à long terme qui poursuivent des intérêts spécifiques, APT37 jouant un rôle important, et qui visent à collecter des informations, comme dans [BSI].

Les attaquants opèrent souvent dans une zone grise juridique, ce qui rend leurs activités particulièrement explosives. Avec des technologies telles que des langages de programmation modernes et des méthodes d’injection sophistiquées, APT37 s’est avéré non seulement menaçant mais aussi extrêmement adaptable. Les entreprises et les particuliers sont donc encouragés à repenser leurs stratégies de cybersécurité et à vérifier régulièrement les systèmes existants pour détecter tout signe de compromission.

Le monde des cybermenaces est glissant et en constante évolution – garder un œil sur la situation dangereuse ne peut donc pas faire de mal !