D’après un rapport de l’équipe de renseignement sur les menaces LAB52 du groupe S2, des entités ukrainiennes sont devenues la cible d’une nouvelle campagne probablement orchestrée par des acteurs malveillants liés à la Russie.

La campagne, observée en février 2026, a été évaluée comme présentant des similitudes avec une campagne antérieure menée par Laundry Bear (alias UAC-0190 ou Void Blizzard) visant les forces de défense ukrainiennes avec une famille de logiciels malveillants connue sous le nom de PLUGGYAPE.

L’attaque « utilise divers leurres à thématique judiciaire et caritative pour déployer une porte dérobée JavaScript fonctionnant via le navigateur Edge », a déclaré la société de cybersécurité. Nom de code : DRILLAPP . Ce logiciel malveillant est capable de télécharger et d’envoyer des fichiers, d’exploiter le microphone et de capturer des images via la webcam en tirant parti des fonctionnalités du navigateur.

Deux versions différentes de la campagne ont été identifiées, la première itération ayant été détectée début février en utilisant un fichier de raccourci Windows (LNK) pour créer une application HTML (HTA) dans le dossier temporaire, qui charge ensuite un script distant hébergé sur Pastefy, un service de collage légitime.

Pour assurer la persistance de l’attaque, les fichiers LNK sont copiés dans le dossier de démarrage de Windows afin d’être lancés automatiquement après un redémarrage du système. La chaîne d’attaque affiche ensuite une URL contenant des leurres liés à l’installation de Starlink ou d’une organisation caritative ukrainienne nommée Come Back Alive Foundation.

Le fichier HTML est finalement exécuté via le navigateur Microsoft Edge en mode sans interface graphique , qui charge ensuite le script obfusqué distant hébergé sur Pastefy.

Le navigateur est exécuté avec des paramètres supplémentaires tels que –no-sandbox, –disable-web-security, –allow-file-access-from-files, –use-fake-ui-for-media-stream, –auto-select-screen-capture-source=true et –disable-user-media-security, lui accordant l’accès au système de fichiers local, ainsi qu’à la caméra, au microphone et à la capture d’écran sans nécessiter d’interaction de l’utilisateur.

Ce logiciel malveillant fonctionne comme une porte dérobée légère permettant d’accéder au système de fichiers et de capturer l’audio du microphone, la vidéo de la caméra et des images de l’écran de l’appareil, le tout via le navigateur. Il génère également une empreinte numérique de l’appareil grâce à une technique appelée « empreinte numérique de type canvas » lors de sa première exécution et utilise Pastefy comme résolveur de boîte de réception pour récupérer une URL WebSocket servant aux communications de commande et de contrôle (C2).

Le logiciel malveillant transmet les données d’empreinte numérique de l’appareil ainsi que le pays de la victime, déterminé à partir du fuseau horaire de la machine. Il vérifie notamment si ce fuseau horaire correspond à l’un des pays suivants : Royaume-Uni, Russie, Allemagne, France, Chine, Japon, États-Unis, Brésil, Inde, Ukraine, Canada, Australie, Italie, Espagne ou Pologne. Dans le cas contraire, il utilise par défaut le fuseau horaire des États-Unis.

La seconde version de la campagne, repérée fin février 2026, abandonne les fichiers LNK pour les modules du Panneau de configuration Windows, tout en conservant en grande partie la séquence d’infection. Autre changement notable : la porte dérobée elle-même, désormais mise à jour pour permettre l’énumération récursive des fichiers, le chargement par lots de fichiers et le téléchargement de fichiers arbitraires.

« Pour des raisons de sécurité, JavaScript n’autorise pas le téléchargement de fichiers à distance », a déclaré LAB52. « C’est pourquoi les attaquants utilisent le protocole Chrome DevTools (CDP), un protocole interne des navigateurs basés sur Chromium qui ne peut être utilisé que lorsque le paramètre –remote-debugging-port est activé. »

On pense que la porte dérobée est encore au stade initial de son développement. Une variante préliminaire du logiciel malveillant, détectée en circulation le 28 janvier 2026, a été observée communiquant uniquement avec le domaine « gnome[.]com » au lieu de télécharger la charge utile principale depuis Pastefy.

« L’un des aspects les plus notables est l’utilisation du navigateur pour déployer une porte dérobée, ce qui suggère que les attaquants explorent de nouvelles façons d’échapper à la détection », a déclaré le fournisseur de sécurité espagnol.

« Le navigateur est avantageux pour ce type d’activité car il s’agit d’un processus courant et généralement non suspect, il offre des fonctionnalités étendues accessibles via des paramètres de débogage qui permettent des actions dangereuses telles que le téléchargement de fichiers distants, et il fournit un accès légitime à des ressources sensibles telles que le microphone, la caméra ou l’enregistrement d’écran sans déclencher d’alertes immédiates. »