Le groupe de pirates informatiques iranien connu sous le nom de MuddyWater a été observé en train d’exploiter une nouvelle porte dérobée baptisée UDPGangster qui utilise le protocole de datagramme utilisateur (UDP) à des fins de commande et de contrôle (C2).

D’après un rapport de Fortinet FortiGuard Labs, cette activité de cyberespionnage a ciblé des utilisateurs en Turquie, en Israël et en Azerbaïdjan.

« Ce logiciel malveillant permet le contrôle à distance des systèmes compromis en autorisant les attaquants à exécuter des commandes, à exfiltrer des fichiers et à déployer des charges utiles supplémentaires – le tout communiqué via des canaux UDP conçus pour contourner les défenses réseau traditionnelles », a déclaré la chercheuse en sécurité Cara Lin .

La chaîne d’attaque consiste à utiliser des techniques de spear-phishing pour diffuser des documents Microsoft Word piégés qui déclenchent l’exécution d’un code malveillant une fois les macros activées. Certains de ces messages d’hameçonnage usurpent l’identité du ministère des Affaires étrangères de la République turque de Chypre du Nord et prétendent inviter les destinataires à un séminaire en ligne intitulé « Élections présidentielles et résultats ».

Un fichier ZIP (« seminer.zip ») et un document Word (« seminer.doc ») sont joints aux courriels. Le fichier ZIP contient également le même fichier Word ; à l’ouverture de ce dernier, les utilisateurs sont invités à activer les macros pour exécuter discrètement du code VBA intégré.

Pour sa part, le script VBA contenu dans le fichier d’installation est conçu pour dissimuler tout signe d’activité malveillante en affichant une image leurre en langue hébraïque provenant du fournisseur de télécommunications israélien Bezeq concernant de supposées périodes de déconnexion au cours de la première semaine de novembre 2025 dans diverses villes du pays.

« La macro utilise l’événement Document_Open() pour s’exécuter automatiquement, décodant les données encodées en Base64 d’un champ de formulaire caché (UserForm1.bodf90.Text) et écrivant le contenu décodé dans C:\Users\Public\ui.txt », a expliqué Lin. « Elle exécute ensuite ce fichier à l’aide de l’API Windows CreateProcessA, lançant ainsi la charge utile UDPGangster. »

UDPGangster assure sa persistance grâce à des modifications du Registre Windows et se targue de disposer de divers mécanismes anti-analyse pour résister aux tentatives des chercheurs en sécurité de le démanteler. Cela inclut :

• Vérification si le processus est en cours de débogage
• Analyse des configurations de processeur pour les environnements sandbox ou les machines virtuelles
• Déterminer si le système dispose de moins de 2048 Mo de RAM
• Récupération des informations de la carte réseau pour vérifier si le préfixe de l’adresse MAC correspond à une liste de fournisseurs de machines virtuelles connus.
• Vérification de l’appartenance de l’ordinateur au groupe de travail Windows par défaut plutôt qu’à un domaine auquel il est joint.
• Examiner les processus en cours d’exécution à la recherche d’outils tels que VBoxService.exe, VBoxTray.exe, vmware.exe et vmtoolsd.exe
• Exécution d’analyses du registre pour rechercher des correspondances avec les identifiants connus des fournisseurs de virtualisation, tels que VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE et Xen
• Recherche d’outils de sandbox ou de débogage connus, et
• Déterminer si le fichier s’exécute dans un environnement d’analyse

Ce n’est qu’après que ces vérifications sont satisfaites que UDPGangster procède à la collecte d’informations système et se connecte à un serveur externe (« 157.20.182[.]75 ») via le port UDP 1269 pour exfiltrer les données collectées, exécuter des commandes à l’aide de « cmd.exe », transmettre des fichiers, mettre à jour le serveur C2 et déposer et exécuter des charges utiles supplémentaires.

« UDPGangster utilise des programmes d’installation basés sur des macros pour l’accès initial et intègre des routines anti-analyse poussées afin d’échapper à la détection », a déclaré Lin. « Les utilisateurs et les organisations doivent rester vigilants face aux documents non sollicités, en particulier ceux qui demandent l’activation de macros. »

Cette information survient quelques jours après qu’ESET a attribué à cet acteur de la menace des attaques touchant les secteurs universitaire, de l’ingénierie, des administrations locales, de la fabrication, de la technologie, des transports et des services publics en Israël, attaques qui ont introduit une autre porte dérobée appelée MuddyViper .