Le nouvel outil ToddyCat déplace l’attention du groupe du vol de navigateur vers l’extraction des archives de messagerie Outlook et des jetons d’accès Microsoft 365.
Les attaquants derrière la boîte à outils ToddyCat Advanced Persistant Threat (APT) se sont adaptés au vol des données de messagerie Outlook et des jetons Microsoft 365 Access.
Selon les conclusions de Kaspersky Labs, le groupe APT a affiné sa boîte à outils fin 2024 et début 2025 pour capturer non seulement les informations d’identification du navigateur, comme vu précédemment, mais également les archives de courrier électronique et les jetons d’accès des victimes.
Le rapport de Kaspersky décrit comment le groupe a compromis les environnements d’entreprise (Exchange sur site ou messagerie dans le cloud) et a ensuite utilisé des méthodes post-exploit intelligentes pour exfiltrer la correspondance électronique, sans déclencher les alarmes habituelles.
Alors que ToddyCat est actif depuis au moins 2020, s’en tenant généralement au vol des cookies et des informations d’identification du navigateur, cette évolution vers le siphonnage d’archives Outlook entières marque une escalade significative dans son playbook. Le groupe ciblait auparavant des organisations de premier plan en Asie et en Europe en piratant les serveurs Microsoft Exchange accessibles sur Internet.
Des navigateurs aux contrôleurs de domaine
Lors d’incidents observés entre mai et juin 2024, Kaspersky a révélé avoir détecté une nouvelle version de la boîte à outils ToddyCat « TomBerBill », écrite en PowerShell, fonctionnant directement à partir de contrôleurs de domaine sous des comptes d’utilisateurs privilégiés.
Cette mise à jour a élargi la portée de l’attaque en ciblant Chrome et Edge pour inclure les données du navigateur Firefox. Le script a utilisé une tâche « d’exécution » planifiée, a créé un répertoire local, puis a contacté (via SMB) pour se connecter aux répertoires utilisateur-hôte sur le réseau. Une fois connecté, il copiait les fichiers du navigateur (cookies, informations d’identification enregistrées, historique, etc.) pour une analyse hors ligne.
En capturant les données brutes du navigateur, y compris les clés de chiffrement Windows DPAPI, ToddyCat pourrait déchiffrer les informations d’identification enregistrées et potentiellement les réutiliser pour élever l’accès.
Il s’agit du deuxième pivot majeur des outils de ToddyCat cette année, après une campagne d’avril 2025 au cours de laquelle le groupe a abusé d’une vulnérabilité du moteur antivirus d’ESET pour exécuter des modules malveillants via les processus de confiance du produit.
Des perspectives dans la ligne de mire
Une autre évolution consiste à accéder aux données de messagerie réelles. ToddyCat a déployé un outil nommé TCSectorCopy, un utilitaire C++ qui ouvre le disque en tant que périphérique en lecture seule et copie les fichiers de stockage hors ligne (OST) d’Outlook secteur par secteur, en contournant tout mécanisme de verrouillage de fichier qu’Outlook peut appliquer.
Une fois les fichiers OST extraits, ils sont introduits dans XstReader — un visualiseur open source capable d’analyser les archives de courrier OST/PST — permettant aux attaquants d’accéder au contenu complet de la correspondance de l’entreprise. Dans les environnements qui utilisent la messagerie cloud (comme Microsoft 365), le nouveau ToddyCat tente de récolter les jetons d’accès OAuth 2.0.
Les attaquants peuvent extraire les jetons OAuth 2.0 du navigateur d’une victime, lui permettant ainsi d’accéder à la messagerie de l’entreprise même lorsqu’elle n’est plus à l’intérieur du réseau compromis, a déclaré un chercheur de Kaspersky dans le rapport.
Dans au moins un cas, un logiciel de sécurité a bloqué leur tentative de dumping de jetons, ont noté les chercheurs. Sans se laisser décourager, les attaquants ont opté pour un outil de vidage de la mémoire (ProcDump de Sysinternals) pour extraire les jetons directement du processus Outlook en cours d’exécution.
Le rapport fournit un ensemble de noms de fichiers, chemins et répertoires malveillants comme indicateurs de compromission (IOC) pour soutenir les efforts de détection. L’évolution de ToddyCat vers le vol de courrier s’inscrit dans une tendance plus large observée lors de campagnes précédentes, dans lesquelles le groupe utilisait des portes dérobées personnalisées, des tunnels de circulation secrets et des tactiques d’espionnage à long terme contre les réseaux gouvernementaux et militaires en Europe et en Asie.
