14 mars 2025

Krusell France

Ta dose d'actu digital !

Comment se protéger des attaques de Kimsuky avec un RDP Wrapper personnalisé ?

1 mois ago Julien Castex
Les pirates de Kimsuky utilisent un RDP Wrapper personnalisé
Rate this post

Les experts en sécurité informatique alertent sur une nouvelle campagne sophistiquée de cyberespionnage menée par le groupe nord-coréen Kimsuky, utilisant des outils personnalisés pour accéder aux machines compromises. Voici un résumé des dernières observations.

Sommaire masquer
1 Une campagne de spear-phishing sophistiquée
2 RDP Wrapper : une porte dérobée discrète
3 Actualités similaires :

Une campagne de spear-phishing sophistiquée

Selon les chercheurs d’AhnLab Security Intelligence Center (ASEC), les pirates de Kimsuky ont récemment mis en place des attaques de spear-phishing utilisant des fichiers malveillants déguisés en documents PDF ou Word, afin de compromettre les systèmes ciblés. Ces e-mails contiennent des informations personnalisées sur les destinataires, ce qui suggère un travail de reconnaissance préalable des pirates.

En cas d’ouverture du fichier malveillant, des scripts PowerShell sont exécutés pour télécharger des charges malveillantes depuis un serveur distant contrôlé par les attaquants. Parmi ces charges, on retrouve PebbleDash, un outil de prise de contrôle, ainsi que RDP Wrapper, une version modifiée permettant un accès distant persistant via le protocole RDP.

Les pirates utilisent également des outils proxy pour contourner les restrictions réseau et assurer un accès au système compromis, même en cas de blocage des connexions RDP directes.

RDP Wrapper : une porte dérobée discrète

La version modifiée de RDP Wrapper utilisée par Kimsuky permet d’activer le protocole Bureau à distance sur des systèmes qui ne le prennent pas en charge nativement, tout en contournant les détections antivirus. Cela offre plusieurs avantages, notamment une évasion efficace des détections, un accès plus confortable via une interface graphique, et la possibilité de contourner les restrictions réseau grâce aux outils de proxy.

Une fois installés sur la machine compromise, les pirates déploient divers logiciels malveillants tels qu’un keylogger, un infostealer nommé forceCopy et un ReflectiveLoader en PowerShell permettant l’exécution de charges malveillantes en mémoire.

Pour plus d’informations sur les indicateurs de compromission (IOC), vous pouvez consulter le rapport complet des chercheurs.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Découvrez comment protéger votre réseau des attaques Blast-RADIUS
  2. Faille critique dans Veeam Backup : comment se protéger des attaques potentielles
  3. Comment protéger votre smartphone Android des attaques SMS frauduleuses
  4. Comment identifier et contrer les attaques de phishing avec l’IA ?
  5. Les attaques par Brute Force : Comprendre, se protéger et réagir
  6. Comment se protéger du phishing par code QR avec Microsoft Sway
Tags:

Plus d'actu

Windows - CVE-2025-24983 - Exploitée depuis mars 2023

Patch Tuesday Mars 2025 : Microsoft corrige une faille zero-day sur Windows

7 heures ago Julien Castex
Comment restaurer un contrôleur de domaine Active Directory

Restauration AD : méthodes, bonnes pratiques et erreurs à éviter

11 heures ago Julien Castex
Des pirates chinois s'infiltrent sur les routeurs Juniper depuis mi-2024 grâce à une porte dérobée

Cyberespionnage chinois : CVE-2025-21590 exploité sur routeurs Juniper

13 heures ago Julien Castex

Vous avez peut-être manqué

Official PlayStation Podcast Episode 510: Cereal Monsters

Les sorties PlayStation à ne pas rater : MLB The Show 25, WWE 2K25 et bien plus

50 minutes ago Alex Lopez
Samsung changes Galaxy Store revenue share model, offers developers an 80%/20% split

Samsung augmente la part des développeurs sur Galaxy Store : 80/20% dès le 15 mai

1 heure ago Romain Barry
Google Assistant's Quick Phrases glitch is troubling Pixel phone owners

Google Assistant remplacé par Gemini prochainement

1 heure ago Julien Castex
Android-to-iPhone RCS messages will be end-to-end encrypted

Nouvelles spécifications RCS : chiffrement bout à bout sur iOS et Android

2 heures ago Romain Barry