La porte dérobée modulaire Golang combine l’administration à distance, plusieurs logiques d’effacement de disque et un module de ransomware dérivé de Crucio qui supprime délibérément les clés de chiffrement, rendant la récupération impossible.
Microsoft met en garde les défenseurs contre une nouvelle porte dérobée qui brouille la frontière entre les logiciels malveillants d’espionnage et les essuie-glaces.
Dans une analyse technique publiée jeudi, Microsoft Threat Intelligence a détaillé les intrusions de GigaWiper, un implant basé sur Golang observé pour la première fois en octobre 2025, qui combine des capacités d’administration à distance avec plusieurs routines d’effacement de disque et de ransomware.
Plutôt que de créer un nouvel outil destructeur à partir de zéro, les opérateurs ont assemblé GigaWiper à partir de plusieurs familles de logiciels malveillants existantes, en les intégrant sous forme de commandes modulaires dans une seule porte dérobée.
« GigaWiper se distingue particulièrement par sa composition », ont déclaré les chercheurs de Microsoft. « La consolidation de plusieurs capacités destructrices dans une porte dérobée modulaire reflète un changement notable dans les logiciels malveillants d’effacement, qui sont généralement conçus uniquement pour détruire plutôt que pour extorquer et entraîner des conséquences réelles. »
Les capacités malveillantes de la porte dérobée comprenaient plusieurs logiques d’effacement de disque, un cryptage irréversible du ransomware Crucio, la persistance et une communication basée sur RabbitMQ et Redis.
Une porte dérobée pour la destruction à la demande
Selon Microsoft, GigaWiper existe sous deux formes. Un essuie-glace autonome et une porte dérobée plus grande dont le jeu de commandes intègre la fonctionnalité d’effacement autonome aux côtés de nombreuses fonctionnalités administratives.
Écrit en Go, le malware prend en charge 20 codes de commande qui permettent aux opérateurs d’exécuter des commandes PowerShell, de gérer les services et processus Windows, de manipuler le registre, de capturer des captures d’écran, d’enregistrer des affichages, d’effacer les journaux d’événements et de contrôler à distance les systèmes infectés via une fonctionnalité de type Virtual Network Computing (VNC).
La persistance est établie via une tâche planifiée se présentant comme une « mise à jour OneDrive », tandis que la commande et le contrôle (C2) s’appuient sur RabbitMQ pour recevoir les instructions et sur Redis pour renvoyer le résultat de la commande. Cette architecture permet aux attaquants de maintenir discrètement l’accès et d’activer sélectivement des fonctionnalités destructrices lorsqu’un objectif a été atteint, ont ajouté les chercheurs.
La porte dérobée combine trois familles de malwares
Les chercheurs de Microsoft ont découvert que GigaWiper intègre le code destructeur de plusieurs familles de logiciels malveillants au lieu de s’appuyer sur un seul mécanisme d’effacement.
Ces intégrations apparaissent sous la forme de commandes distinctes prises en charge par la porte dérobée.
Une commande effectue un effacement brut du disque physique en écrasant les lecteurs et en supprimant les métadonnées de la partition. Un autre emprunte à la famille des ransomwares Crucio, cryptant des fichiers avec des clés générées aléatoirement qui ne sont intentionnellement jamais stockées, rendant la récupération impossible bien qu’elle se présente comme un ransomware.
Une troisième commande recrée la fonctionnalité de FlockWiper, implémentant un effacement multi-passes sécurisé dans Go pour effacer définitivement les données sur les systèmes Windows.
« Nous avons lié GigaWiper à Crucio et FlockWiper sur la base de l’analyse du code, du flux d’exécution partagé, de la dénomination des fonctions et des chaînes uniques », ont déclaré les chercheurs. « Le code de Crucio était la base de la commande GigaWiper 3, et FlockWiper a été recodé dans Golang et mis à jour pour la commande GigaWiper 12 », ont-ils noté, faisant référence aux 20 commandes répertoriées prises en charge par la porte dérobée.
L’essuie-glace autonome a été implémenté en tant que commande 1 de la liste.
Microsoft a recommandé de renforcer les points de terminaison et les identités, d’activer les capacités de détection comportementale et de détection et réponse des points de terminaison (EDR), et d’utiliser des contrôles de réduction de la surface d’attaque pour limiter les risques de compromission.
La société a également exhorté les défenseurs à conserver des sauvegardes hors ligne ou résilientes, car les logiciels malveillants destructeurs comme GigaWiper sont conçus pour effacer ou chiffrer les données de manière irréversible. Pour faciliter la détection, les chercheurs ont partagé une liste d’indicateurs de compromission (IOC), qui comprenait les hachages de fichiers FlockWiper et Crucio et quelques adresses IP C2.



