Netcrook Logo
👤 AGONY
🗓️ 07 Sep 2025  

L’ours dans la boîte de réception : la porte dérobée furtive “NotDoor” d’APT28 détourne Outlook

De nouvelles recherches révèlent qu’APT28, groupe russe, introduit des malwares avancés dans des entreprises de l’OTAN en exploitant Microsoft Outlook, utilisant des emails quotidiens comme couverture pour l’espionnage.

En bref

  • APT28, un groupe soutenu par l’État russe, déploie une nouvelle porte dérobée basée sur Outlook nommée NotDoor.
  • NotDoor se cache dans Outlook sous forme de macro, déclenchée par des phrases spécifiques comme “Daily Report”.
  • Les attaquants exploitent une vulnérabilité dans OneDrive.exe pour contourner la sécurité et installer le malware.
  • Les données volées sont chiffrées, déguisées en fichiers ordinaires, puis envoyées par email pour une exfiltration discrète.
  • Des chercheurs de Lab52, Kroll et d’autres avertissent que cette technique se fond parfaitement dans les communications professionnelles habituelles.

Le cheval de Troie réinventé : Outlook comme passerelle d’espion

Imaginez votre boîte de réception au bureau : le flot quotidien de rapports, factures et mises à jour. Imaginez maintenant un groupe de cyber-espionnage, soutenu par le gouvernement russe, tapi dans cette boîte de réception - lisant, volant, contrôlant, tout en se fondant dans la routine professionnelle. C’est la réalité glaçante derrière NotDoor, une porte dérobée découverte par Lab52 de S2 Grupo, désormais confirmée par Kroll, visant des entreprises dans les pays membres de l’OTAN.

Comment NotDoor échappe aux défenses

NotDoor est le dernier outil de l’arsenal d’APT28 (aussi connu sous le nom de Fancy Bear ou STRONTIUM), et c’est un modèle de furtivité. Contrairement aux malwares classiques qui arrivent en pièces jointes suspectes, NotDoor est déployé via une astuce technique ingénieuse : l’abus du fichier OneDrive.exe de Microsoft. Les attaquants introduisent un fichier auxiliaire malveillant (SSPICLI.dll), qui désactive la sécurité des macros d’Outlook et installe discrètement la porte dérobée.

Une fois à l’intérieur, NotDoor s’intègre comme une macro cachée dans Outlook. Il attend patiemment, analysant les emails entrants à la recherche d’une phrase secrète comme “Daily Report”. Lorsqu’il est activé, il peut exécuter des commandes, télécharger ou voler des fichiers, et même renvoyer des données chiffrées à ses opérateurs - le tout déguisé en correspondance professionnelle ordinaire. Le malware efface ses traces en supprimant à la fois l’email déclencheur et les fichiers exfiltrés.

Vivre sur la terre : vieilles astuces, nouvelles cibles

Cette campagne est un exemple classique de “living-off-the-land”, expliquent les chercheurs de Kroll - utiliser des outils professionnels légitimes pour masquer des activités malveillantes. En se fondant dans les fonctions normales d’Outlook, NotDoor se camoufle, rendant sa détection par les outils de sécurité traditionnels extrêmement difficile. La porte dérobée exploite des commandes PowerShell encodées et du code obfusqué, si bien que même les défenseurs expérimentés peinent à la repérer dans le bruit ambiant.

Ce n’est pas la première opération d’APT28. Le groupe a une longue histoire de ciblage des gouvernements et organisations occidentaux, des piratages des élections américaines de 2016 aux attaques continues contre les groupes européens de défense et de politique. Mais l’utilisation des macros Outlook comme canal de communication furtif marque un bond en avant en matière de discrétion, rappelant les tactiques d’autres campagnes d’espionnage mondiales, comme le groupe Gamaredon chinois, qui abuse également d’outils cloud et développeur courants pour le commandement et le contrôle.

Conséquences et défenses

Les conséquences sont graves : des logiciels professionnels de confiance deviennent des armes. Des experts en sécurité comme Jason Soroko de Sectigo exhortent les organisations à désactiver les macros Outlook, bloquer les DLL à risque et surveiller toute activité PowerShell suspecte. Mais la leçon la plus large est inquiétante : les défenses périmétriques ne suffisent plus lorsque les attaquants détournent les outils utilisés quotidiennement par les employés.

Conclusion : quand chaque email peut être un piège

La campagne NotDoor est un signal d’alarme pour le monde des affaires : la frontière entre opérations ordinaires et espionnage n’a jamais été aussi floue. Alors que les attaquants s’infiltrent au cœur des communications quotidiennes, la vigilance et une sécurité multicouche et adaptative deviennent non seulement des bonnes pratiques, mais des nécessités. À l’ère des menaces invisibles, même l’email le plus banal peut être une porte secrète pour les espions.

WIKICROOK

  • APT28 : APT28, ou Fancy Bear, est un groupe de hackers soutenu par l’État russe, connu pour ses cyber-espionnages contre des gouvernements et organisations occidentaux.
  • Macro Outlook : Une macro Outlook est un petit programme dans Microsoft Outlook qui automatise des tâches, mais peut aussi être exploité pour diffuser des malwares en cas de mauvaise utilisation.
  • DLL Sideloading : Le DLL sideloading consiste à tromper des programmes de confiance pour qu’ils chargent des fichiers auxiliaires (DLL) malveillants au lieu des fichiers légitimes, permettant des attaques furtives.
  • PowerShell : PowerShell est un outil de script Windows utilisé pour l’automatisation, mais souvent exploité par les attaquants pour mener des actions malveillantes en toute discrétion.
  • Obfuscation : L’obfuscation est la pratique qui consiste à déguiser du code ou des données pour les rendre difficiles à comprendre, analyser ou détecter par des humains ou des outils de sécurité.
AGONY AGONY
Elite Offensive Security Commander
← Back to news