Les chercheurs en cybersécurité attirent l’attention sur une nouvelle vague de campagnes diffusant un voleur d’informations basé sur Python appelé PXA Stealer.

L’activité malveillante a été évaluée comme étant l’œuvre de cybercriminels parlant vietnamien qui monétisent les données volées via un écosystème souterrain basé sur un abonnement qui automatise la revente et la réutilisation via les API Telegram, selon un rapport conjoint publié par Beazley Security et SentinelOne et partagé avec The Hacker News.

« Cette découverte illustre une avancée dans le domaine, intégrant des techniques anti-analyse plus nuancées, un contenu leurre non malveillant et un pipeline de commandement et de contrôle renforcé qui contrecarre le triage et les tentatives de retarder la détection », ont déclaré les chercheurs en sécurité Jim Walter, Alex Delamotte, Francisco Donoso, Sam Mayers, Tell Hause et Bobby Venal .

Ces campagnes ont infecté plus de 4 000 adresses IP uniques réparties dans 62 pays, dont la Corée du Sud, les États-Unis, les Pays-Bas, la Hongrie et l’Autriche. Les données récupérées par le voleur comprennent plus de 200 000 mots de passe uniques, des centaines de relevés de cartes de crédit et plus de 4 millions de cookies de navigateur.

PXA Stealer a été identifié pour la première fois par Cisco Talos en novembre 2024, l’attribuant à des attaques ciblant des organismes gouvernementaux et éducatifs en Europe et en Asie. Il est capable de collecter des mots de passe, des données de saisie automatique de navigateur, des informations provenant de portefeuilles de cryptomonnaies et d’institutions financières.

Les données volées par le logiciel malveillant utilisant Telegram comme canal d’exfiltration sont transmises à des plateformes criminelles comme Sherlock, un fournisseur de journaux de voleurs, à partir desquels les acteurs de la menace en aval peuvent acheter les informations pour se livrer à des vols de cryptomonnaie ou infiltrer des organisations à des fins de suivi, alimentant ainsi un écosystème cybercriminel qui fonctionne à grande échelle.

Les campagnes de distribution de logiciels malveillants en 2025 ont connu une évolution tactique constante, les acteurs de la menace utilisant des techniques de chargement latéral de DLL et des couches de préparation élaborées dans le but de passer sous le radar.

La DLL malveillante se charge d’exécuter le reste des étapes de la séquence d’infection, ouvrant finalement la voie au déploiement du voleur, mais pas avant d’avoir pris des mesures pour afficher un document leurre, tel qu’un avis de violation de droits d’auteur, à la victime.

Le voleur est une version mise à jour permettant d’extraire les cookies des navigateurs web basés sur Chromium en injectant une DLL dans les instances en cours d’exécution afin de contourner les protections de chiffrement des applications . Il vole également les données des clients VPN, des utilitaires d’interface de ligne de commande (CLI) cloud, des partages de fichiers connectés et des applications comme Discord.

« PXA Stealer utilise les BotID (stockés sous TOKEN_BOT) pour établir le lien entre le bot principal et les différents ChatID (stockés sous CHAT_ID) », ont expliqué les chercheurs. « Les ChatID sont des canaux Telegram aux propriétés variées, mais ils servent principalement à héberger les données exfiltrées et à fournir des mises à jour et des notifications aux opérateurs. »

« Cette menace s’est depuis transformée en une opération très évasive, en plusieurs étapes, menée par des acteurs parlant vietnamien et ayant des liens apparents avec un marché cybercriminel organisé basé sur Telegram qui vend des données de victimes volées. »