Les équipes de Bitdefender ont récemment découvert une menace informatique sophistiquée, nommée EggStreme, qui semble être à l’origine d’une campagne d’espionnage ciblant des organisations militaires aux Philippines. Cette découverte attire l’attention sur les tensions croissantes en mer de Chine méridionale, laissant supposer une connexion stratégique entre ce malware et des motivations géopolitiques. EggStreme se cache dans le dossier %APPDATA%, un emplacement peu suspect qui pourrait passer inaperçu pour de nombreux utilisateurs.
Ce malware adopte une méthode d’infiltration astucieuse connue sous le nom de DLL sideloading, permettant aux attaquants de glisser une DLL malveillante (mscorsvc.dll) dans un fichier Windows légitime (WinMail.exe). Windows, sans se douter de rien, charge alors cette combinaison malveillante, ce qui permet à EggStreme de s’installer discrètement et de fonctionner principalement à partir de la mémoire vive (RAM), évitant toute trace sur le disque dur. Cette approche soulève de sérieuses inquiétudes sur la sécurité des systèmes informatiques modernes face à des techniques d’attaque aussi élaborées.
La frontière entre une application inoffensive et une infrastructure d’espionnage est désormais très mince.
Une fois activé, EggStreme déploie plusieurs composants, à commencer par EggStremeFuel qui collecte des informations sur le système et crée une porte dérobée via cmd.exe. Puis, EggStremeLoader recherche des payloads chiffrés dissimulés, injectant ces codes malveillants directement dans des processus système légitimes tels que winlogon.exe ou explorer.exe. Le cœur de l’attaque est constitué par EggStremeAgent, qui offre aux attaquants un contrôle total avec 58 commandes différentes, allant de la reconnaissance réseau au vol de données, en passant par la capture d’écran et même l’injection dans le processus LSASS, chargé de gérer les mots de passe Windows.
Pire encore, les développeurs ont inclus un keylogger, EggStremeKeylogger, qui s’infiltre dans explorer.exe et enregistre des informations cruciales comme les frappes clavier et le contenu du presse-papier. Les échanges de données entre le malware et le serveur de commande et contrôle se font via gRPC avec mTLS, et chaque machine compromise reçoit un certificat unique par l’intermédiaire d’une autorité de certification créée par les attaquants.
Les chercheurs soulignent que la sophistication et la cohérence de l’ensemble de l’infrastructure d’EggStreme révèlent un groupe de développeurs bien organisé, probablement soutenu par un État. Pour contrer ce type de menaces avancées, les antivirus traditionnels se révèlent totalement inefficaces. Des solutions de monitoring comportemental, voire des outils EDR/XDR, sont primordiaux pour surveiller la mémoire des processus et détecter des comportements anormaux. Cela rappelle l’importance de se prémunir contre des cyberattaques de cette envergure, particulièrement pour les organisations sensibles en Asie-Pacifique.
