Le RAT connu destiné aux joueurs cible désormais les professionnels de la sécurité qui recherchent sur GitHub des PoC et des codes d’exploitation.
Les professionnels de la sécurité à la recherche de PoC et d’exploiteurs de code sur GitHub pourraient bientôt tomber dans un piège, car les attaquants redirigent vers eux un RAT connu.
Des chercheurs ont découvert une campagne furtive dans laquelle le cheval de Troie Webrat, connu depuis des mois pour se cacher dans des astuces de jeux et des logiciels piratés, se présente désormais comme un référentiel d’exploits de preuve de concept sur GitHub pour tromper les chercheurs en sécurité sans méfiance.
Le leurre intelligent et la cible inattendue distinguent la campagne des attaques classiques de distribution de logiciels malveillants.
Les analystes de sécurité de Kaspersky ont repéré cette évolution dans laquelle les attaquants téléchargent un code d’exploitation de vulnérabilité apparemment légitime, accompagné d’une documentation structurée, uniquement pour inciter les cibles à télécharger une porte dérobée.
Des astuces de jeu aux exploits GitHub
Webrat n’est pas nouveau. Il a l’habitude de se cacher à la vue de tous sous des leurres familiers tels que des packages de triche de jeu (notamment Rust, Counter-Strike et Roblox) et des installateurs de logiciels piratés. Mais lors de la dernière campagne, qui remonte au moins à septembre 2025, les attaquants ont commencé à changer d’approche en hébergeant des référentiels sur GitHub qui semblent offrir du code d’exploitation pour des vulnérabilités très médiatisées avec des scores CVSSv3 élevés.
Les vulnérabilités pour lesquelles ils ont poussé les exploits comprenaient un débordement de tampon critique basé sur le tas dans Internet Explorer (CVE-2025-59295/ CVSS 8.8), un contournement d’authentification de gravité maximale dans un plugin WordPress (CVE-2025-10294/ CVSS 9.8) et un contrôle d’accès inapproprié dans le gestionnaire de connexions d’accès à distance Windows (CVE-2025-59230/ CVSS 7.8).
En plus de vider le code d’exploitation, les référentiels comprenaient des sections détaillées avec des aperçus de la vulnérabilité, de l’impact sur le système, des guides d’installation, des étapes d’utilisation et même des conseils d’atténuation. La cohérence du format avec une rédaction PoC professionnelle suggère que les descriptions sont générées automatiquement pour éviter d’être détectées par des professionnels chevronnés, ont noté les chercheurs de Kaspersky dans un article de blog.
La charge utile et le comportement malveillants
Sous le README raffiné, les attaquants ont déposé un ZIP protégé par mot de passe lié au référentiel. Le mot de passe de l’archive était caché dans les noms de fichiers, ce qui était facilement méconnaissable par des yeux non avertis. À l’intérieur, les composants clés incluent une DLL leurre, un fichier batch pour lancer le malware et l’exécutable principal (comme rasmanesc.exe) capable d’élever les privilèges, de désactiver Windows Defender et de récupérer la véritable charge utile Webrat à partir des serveurs de commande et de contrôle (c2) codés en dur.
Une fois exécuté, Webrat installe une porte dérobée sur le système hôte. La porte dérobée peut exfiltrer les informations d’identification, accéder aux portefeuilles de crypto-monnaie, espionner les webcams et les microphones, enregistrer les frappes au clavier et voler les données des applications de messagerie comme Telegram, Discord et des plateformes de jeux telles que Steam.
Ces capacités constituent une véritable plate-forme de surveillance et de vol sous le contrôle de l’attaquant.
Importance du changement
Les chercheurs ont constaté que le passage de la tromperie des utilisateurs occasionnels avec des astuces de jeu au ciblage des professionnels de la technologie avec du code d’exploitation était à la fois notable et préoccupant. « Ils ciblent les chercheurs qui s’appuient fréquemment sur des sources ouvertes pour trouver et analyser du code lié à de nouvelles vulnérabilités », ont-ils déclaré.
Cependant, les chercheurs en sécurité expérimentés analysent généralement ces exploits dans des environnements isolés tels que des machines virtuelles ou des bacs à sable, minimisant ainsi les risques. C’est peut-être la raison pour laquelle la campagne est considérée comme délibérément ciblée sur les novices, notamment les étudiants, les analystes débutants et ceux désireux d’explorer les PoC sans pratiques de manipulation sûres.
« Les professionnels de la cybersécurité, en particulier les chercheurs et étudiants inexpérimentés, doivent rester vigilants lors de la gestion des exploits et de tout fichier potentiellement malveillant », conseillent les chercheurs. « Pour éviter tout dommage potentiel aux appareils professionnels et personnels contenant des informations sensibles, nous vous recommandons d’analyser ces exploits et fichiers dans des environnements isolés comme des machines virtuelles ou des bacs à sable. » La divulgation indique que Webrat lui-même n’a subi aucune modification technique significative. Au lieu de cela, les attaquants ont recadré le risque en transformant la curiosité open source en surface d’attaque.
