Les utilisateurs parlant chinois sont la cible d’une campagne d’empoisonnement de l’optimisation des moteurs de recherche (SEO) qui utilise de faux sites de logiciels pour diffuser des logiciels malveillants.

« Les attaquants ont manipulé les classements de recherche à l’aide de plugins SEO et enregistré des domaines similaires, imitant de près des sites de logiciels légitimes », a déclaré Pei Han Liao, chercheur chez Fortinet FortiGuard Labs . « En utilisant un langage convaincant et de petites substitutions de caractères, ils ont incité leurs victimes à consulter des pages usurpées et à télécharger des logiciels malveillants. »

L’activité, découverte par la société de cybersécurité en août 2025, conduit au déploiement de familles de logiciels malveillants comme HiddenGh0st et Winos (alias ValleyRAT), qui sont tous deux des variantes d’un cheval de Troie d’accès à distance appelé Gh0st RAT.

Il est à noter que l’utilisation de Winos a été attribuée à un groupe de cybercriminels connu sous le nom de Silver Fox , également connu sous les noms de SwimSnake, The Great Thief of Valley (ou Valley Thief), UTG-Q-1000 et Void Arachne. On pense qu’il est actif au moins depuis 2022.

Dans la dernière chaîne d’attaque documentée par Fortinet, les utilisateurs recherchant des outils comme DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp et WPS Office sur Google sont redirigés vers de faux sites pour déclencher la livraison du malware à l’aide d’installateurs trojanisés.

« Un script nommé nice.js contrôle le processus de diffusion des logiciels malveillants sur ces sites », explique Fortinet. « Le script suit une chaîne en plusieurs étapes : il appelle d’abord un lien de téléchargement qui renvoie des données JSON, incluant un lien secondaire. Ce lien secondaire pointe ensuite vers une autre réponse JSON contenant un lien redirigeant vers l’URL finale du programme d’installation malveillant. »

Le programme d’installation contient une DLL malveillante (« EnumW.dll ») qui effectue plusieurs contrôles anti-analyse pour contourner la détection, notamment en extrayant une autre DLL (« vstdlib.dll ») pour surcharger les outils d’analyse en gonflant l’utilisation de la mémoire et en ralentissant leurs performances.

La deuxième DLL est également conçue pour décompresser et lancer la charge utile principale, mais pas avant d’avoir vérifié la présence du logiciel antivirus 360 Total Security sur l’hôte compromis. Si le logiciel malveillant est présent, il utilise une technique appelée détournement de COM TypeLib pour établir la persistance et lancer un exécutable Windows (« insalivation.exe »).

Si l’antivirus n’est pas installé sur l’hôte, la persistance est assurée par la création d’un raccourci Windows pointant vers le même exécutable. L’objectif final de l’infection est de charger une DLL (« AIDE.dll ») qui lance trois fonctions principales :

• Commande et contrôle (C2), pour établir une communication avec un serveur distant et échanger des données dans un format crypté
• Heartbeat, pour collecter les données du système et des victimes et énumérer les processus en cours d’exécution par rapport à une liste codée en dur de produits de sécurité
• Surveiller, pour évaluer l’environnement de la victime afin de confirmer la persistance, suivre l’activité de l’utilisateur et signaler au serveur C2

Le module C2 prend également en charge des commandes permettant de télécharger des plugins supplémentaires, d’enregistrer les frappes au clavier et les données du presse-papiers, et même de pirater les portefeuilles de cryptomonnaies associés à Ethereum et Tether. Certains des plugins identifiés sont capables de surveiller l’écran de la victime et ont déjà été identifiés comme faisant partie du framework Winos.

« Les programmes d’installation contenaient à la fois l’application légitime et la charge malveillante, ce qui empêchait les utilisateurs de détecter l’infection », a déclaré Fortinet. « Même les résultats de recherche les mieux classés étaient ainsi instrumentalisés, soulignant l’importance d’inspecter soigneusement les noms de domaine avant de télécharger un logiciel. »

Les locuteurs chinois ciblés par un trio de logiciels malveillants, dont le nouveau kkRAT#

Ce développement intervient alors que Zscaler ThreatLabz a signalé une campagne distincte, ciblant également les utilisateurs sinophones, avec un malware jusque-là non documenté appelé kkRAT depuis début mai 2025, ainsi que Winos et FatalRAT .

kkRAT « partage des similitudes de code avec Gh0st RAT et Big Bad Wolf (大灰狼), un RAT généralement utilisé par les cybercriminels basés en Chine », a déclaré Muhammed Irfan VA, chercheur chez Zscaler .

kkRAT utilise un protocole de communication réseau similaire à Ghost RAT, avec une couche de chiffrement supplémentaire après la compression des données. Les fonctionnalités du RAT incluent la manipulation du presse-papiers pour remplacer les adresses de cryptomonnaie et le déploiement d’outils de surveillance à distance (par exemple, Sunlogin, GotoHTTP).

Comme pour l’activité mentionnée précédemment, la campagne d’attaque utilise de fausses pages d’installation imitant des logiciels populaires comme DingTalk pour diffuser les trois chevaux de Troie. Les sites d’hameçonnage sont hébergés sur des pages GitHub, permettant aux pirates d’abuser de la confiance associée à une plateforme légitime de distribution de logiciels malveillants. Le compte GitHub utilisé pour déployer ces pages n’est plus disponible.

Une fois lancé par la victime, le programme d’installation hébergé sur les sites effectue une série de vérifications pour identifier les environnements sandbox et les machines virtuelles (VM), ainsi que pour contourner les logiciels de sécurité. Il requiert également des privilèges d’administrateur qui, s’ils sont accordés, lui permettent d’énumérer et de désactiver temporairement toutes les cartes réseau actives, perturbant ainsi le fonctionnement normal des antivirus.

Un autre aspect notable du logiciel malveillant est son utilisation de la technique BYOVD (Bring Your Own Vulnerable Driver) pour désactiver les logiciels antivirus installés sur l’hôte en réutilisant le code du projet open source RealBlindingEDR . Le logiciel malveillant recherche spécifiquement les cinq programmes suivants :

• Suite de sécurité Internet 360
• Sécurité totale à 360°
• Suite de diagnostic système HeroBravo
• Kingsoft Internet Security
• QQ电脑管家

Une fois les processus liés à l’antivirus terminés, le logiciel malveillant prend des mesures pour créer une tâche planifiée qui s’exécute avec les privilèges SYSTEM pour exécuter un script batch afin de garantir qu’ils sont automatiquement supprimés à chaque fois qu’un utilisateur se connecte à la machine.

De plus, il modifie les entrées du registre Windows pour 360 Total Security, probablement dans le but de désactiver les vérifications réseau. Une fois ces actions effectuées, le logiciel malveillant réactive les cartes réseau pour restaurer la connectivité réseau du système.

La principale fonction de l’installateur est de lancer le shellcode, qui, à son tour, lance un autre fichier shellcode obfusqué nommé « 2025.bin » à partir d’une URL codée en dur. Ce shellcode nouvellement récupéré sert de téléchargeur pour un artefact (« output.log ») qui accède ensuite à deux URL différentes pour récupérer deux archives ZIP :

• trx38.zip, contenant un fichier exécutable légitime et une DLL malveillante lancée à l’aide du chargement latéral de DLL
• p.zip, contenant un fichier nommé longlq.cl, qui contient la charge utile finale chiffrée

« Le logiciel malveillant crée ensuite un raccourci vers l’exécutable légitime extrait de trx38.zip, l’ajoute au dossier de démarrage pour la persistance, puis exécute l’exécutable légitime pour charger la DLL malveillante », explique Zscaler. « La DLL malveillante déchiffre et exécute la charge utile finale du fichier longlq.cl. La charge utile finale de la campagne varie en fonction de la deuxième archive ZIP téléchargée. »

Chaîne d’attaque pour une campagne de malware distribuant plusieurs RAT

L’une des trois charges utiles est kkRAT. Après avoir établi une connexion socket avec le serveur C2, le logiciel malveillant profile la machine victime et obtient divers plugins pour effectuer diverses tâches de collecte de données.

• Capture d’écran et simulation des entrées utilisateur telles que les actions du clavier et de la souris
• Récupération et modification des données du presse-papiers
• Activation des fonctionnalités de bureau à distance, telles que le lancement de navigateurs Web et la fin des processus actifs
• Faciliter l’exécution de commandes à distance via une interface shell
• Activation de la gestion Windows sur l’écran
• Démontrer les fonctionnalités de gestion des processus, telles que la liste des processus actifs et leur terminaison au fur et à mesure des besoins
• Générer une liste de connexions réseau actives
• Fournir des fonctionnalités de gestion des applications, telles que la liste des logiciels installés et la désinstallation de logiciels spécifiques
• Énumération et récupération de la liste des valeurs stockées dans la clé de registre d’exécution automatique
• Agissant comme un proxy pour acheminer les données entre un client et un serveur à l’aide du protocole SOCKS5

En plus de ces plugins, kkRAT offre la prise en charge d’une longue liste de commandes pour invoquer les plugins ; fonctionner comme un clipper en remplaçant les adresses de portefeuille de crypto-monnaie copiées dans le presse-papiers ; configurer la persistance ; déployer GotoHTTP et Sunlogin ; et effacer les données associées à 360 Speed ​​Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer, Skye, Telegram.

« Les commandes et plugins de kkRAT permettent des fonctionnalités telles que le détournement du presse-papiers pour remplacer les adresses de portefeuille de crypto-monnaie, l’installation d’outils RMM comme Sunlogin et GotoHTTP, et le relais du trafic réseau qui peut être utilisé pour contourner les pare-feu et les VPN », a déclaré Zscaler.