Les cybercriminels exploitent la saison des déclarations de revenus en Inde avec une campagne à double malware

Lucas Morel

Une campagne de phishing en plusieurs étapes se fait passer pour le département indien des impôts sur le revenu pour déployer Gh0st RAT et AsyncRAT, offrant ainsi aux attaquants un accès redondant via une infrastructure C2 distincte.

Les cybercriminels exploitent la saison des déclarations de revenus en Inde avec une nouvelle campagne de logiciels malveillants qui refuse de mettre tous ses œufs dans le même panier.

Des chercheurs de Cyderes ont découvert une opération de phishing sophistiquée qui se fait passer pour le département des impôts indien et qui transmet deux chevaux de Troie d’accès à distance (RAT) via une chaîne d’infection en plusieurs étapes, offrant ainsi aux attaquants un accès persistant aux systèmes compromis.

Les Indiens reçoivent de faux courriels d’évaluation fiscale qui les poussent à télécharger ce qui semble être un utilitaire officiel ITR. Mais l’image de marque convaincante du gouvernement cache une séquence d’infection soigneusement conçue qui abuse des binaires Windows légitimes, du chargement latéral de DLL, de l’exécution en mémoire et de l’injection de processus pour obtenir un accès persistant.

Selon Cyderes, l’opération déploie un dérivé Gh0st RAT et un implant basé sur .NET lié à la famille QuasarRAT/AsyncRAT, chacun communiquant avec des serveurs de commande et de contrôle (C2) distincts.

« La conception à double implant donne à l’attaquant un accès redondant même si un canal est bloqué ou détecté », ont déclaré les chercheurs de Cyderes dans un article de blog.

Une chaîne d’infection furtive à plusieurs étapes

Pour éviter d’être détecté, la campagne superpose sa chaîne d’exécution, plutôt que de supprimer les logiciels malveillants immédiatement après l’accès initial.

Une fois que les victimes sont incitées à télécharger et à ouvrir les archives en se faisant passer pour des utilitaires légitimes du Département de l’impôt sur le revenu, des exécutables Windows fiables sont utilisés à mauvais escient pour charger des DLL malveillantes. Cela permet au malware d’emprunter la légitimité des binaires signés tout en contournant les contrôles de sécurité.

« L’infection commence par ‘COU_ITR-1_to_4_AY2026-27.exe’, un binaire légitime et signé numériquement que l’attaquant transforme en lanceur », ont déclaré les chercheurs, ajoutant qu’il s’agit d’une technique connue par laquelle un attaquant « place une bibliothèque malveillante dans un chemin que le binaire de confiance vérifiera en premier, donnant au malware un point d’entrée propre ».

La campagne exécute ensuite ses étapes d’infection ultérieures, qui utilisent plusieurs techniques d’évasion de la défense, notamment des contrôles anti-analyse, des correctifs AMSI, l’exécution cryptée en mémoire des assemblys .NET et l’injection de processus prenant en compte la session dans svchost.exe.

Chacune de ces RAT communique avec une infrastructure de commande et de contrôle (c2) dédiée, susceptible de survivre à la détection et au blocage de l’une ou l’autre lors d’une réponse à un incident.

Cyderes a recommandé de se concentrer sur les détections comportementales plutôt que de s’appuyer uniquement sur les signatures EDR, car la campagne abuse des composants Windows fiables et de l’exécution en mémoire. Les indicateurs clés incluent le chargement latéral de DLL, la création de services inattendue, la falsification AMSI, les processus natifs hébergeant le runtime .NET et l’injection de processus dans svchost.exe.

La divulgation a également fourni un ensemble détaillé d’IOC, notamment des hachages de fichiers, des domaines malveillants, une infrastructure C2 et des artefacts d’hôte associés aux deux familles RAT.

Logiciel malveillantCybercriminalitéSécurité