Raccourci vers l’espionnage : comment APT36 a infiltré les réseaux gouvernementaux indiens avec des fichiers LNK piégés

Lorsqu’une pièce jointe apparemment anodine arrive dans la boîte de réception d’un fonctionnaire, peu soupçonnent qu’il s’agit de la première ligne d’un conflit numérique silencieux. Mais pour les réseaux gouvernementaux et académiques indiens, une récente campagne du tristement célèbre groupe APT36 a transformé des fichiers ordinaires en outils d’espionnage à haut risque, exploitant le modeste raccourci Windows avec des conséquences dévastatrices.

À retenir

• APT36, également connu sous le nom de Transparent Tribe, est un acteur menaçant aligné sur le Pakistan, spécialisé dans le cyber-espionnage.
• Le groupe a déployé des fichiers LNK (raccourci) Windows piégés de plus de 2 Mo, déguisés en PDF légitimes, pour infiltrer les systèmes gouvernementaux indiens.
• La chaîne d’attaque exploite des composants Windows de confiance comme mshta.exe pour une exécution furtive et sans fichier de logiciels malveillants.
• Le malware principal est un cheval de Troie d’accès à distance (RAT) doté d’une persistance adaptative et de capacités de vol de données, conçu pour échapper aux principaux antivirus.
• Les données exfiltrées sont encodées en Base64, chiffrées en AES, puis envoyées vers un serveur distant, garantissant le vol confidentiel de documents sensibles.

Au cœur de l’attaque : des emails trompeurs à la prise de contrôle totale

L’opération a commencé par une technique classique de spear-phishing : un fichier ZIP intitulé « Online JLPT Exam Dec 2025.zip » envoyé à des boîtes ciblées. À l’intérieur se trouvait un fichier de raccourci Windows gonflé à plus de 2 Mo - bien plus que les 10-12 Ko habituels - sa taille augmentée par l’intégration de contenu PDF et d’images. Cette ruse ingénieuse donnait au fichier une apparence légitime, réduisant la méfiance des destinataires.

Une fois ouvert, le raccourci affichait un vrai PDF tout en exécutant secrètement du code malveillant. En s’appuyant sur le binaire Windows de confiance mshta.exe, le fichier récupérait un script distant conçu pour rester en mémoire - sans jamais toucher le disque, échappant ainsi à de nombreux outils de sécurité. Le script reconstituait deux charges utiles via des routines de déchiffrement personnalisées : l’une pour désactiver les contrôles de sécurité .NET, l’autre - une DLL malveillante de 359 Ko - exécutée entièrement en mémoire.

Le malware d’APT36 montrait une remarquable conscience de son environnement. Il interrogeait le système pour détecter les antivirus installés et adaptait dynamiquement ses mécanismes de persistance. Pour Kaspersky, il utilisait des scripts HTA obfusqués ; pour Quick Heal, des fichiers batch ; pour Avast, AVG et Avira, il optait pour une exécution directe. Cette approche adaptative permettait au malware de survivre et de rester indétecté sur divers systèmes protégés.

Une fois le contrôle établi, le RAT permettait une surveillance à 360° : captures d’écran en direct, exécution de commandes, surveillance du presse-papiers, vol de fichiers, et même collecte ciblée de documents. Toutes les données volées étaient rigoureusement encodées et chiffrées avant d’être envoyées à un serveur de commande et de contrôle, assurant la confidentialité des secrets des attaquants.

Espionnage, pas extorsion

Cette campagne porte tous les signes d’une collecte de renseignements dirigée par un État, plutôt que d’une cybercriminalité à but lucratif. L’accent était mis sur la furtivité, la persistance et le vol exhaustif de données - pas sur la perturbation ou la demande de rançon. L’utilisation de binaires système de confiance, la tromperie sur le format et des chemins d’exécution adaptés à la sécurité témoignent d’un adversaire aguerri, déterminé à maintenir un accès à long terme aux données sensibles des institutions indiennes.

Les experts en sécurité avertissent que se défendre contre de telles attaques nécessite plus qu’un antivirus classique. La détection comportementale, le filtrage des emails pour les fichiers LNK volumineux, et une surveillance vigilante des processus système suspects sont essentiels. Bloquer les infrastructures de commande et contrôle connues et surveiller les mouvements latéraux peuvent aider à endiguer cette campagne d’espionnage en évolution.

Perspectives

Les dernières techniques d’APT36 démontrent que même les fichiers les plus anodins peuvent devenir des vecteurs de cyber-espionnage sophistiqué. Alors que les acteurs alignés sur des États affinent sans cesse leurs méthodes, la défense des réseaux sensibles exigera une vigilance constante, une adaptation technique et une bonne dose de scepticisme envers chaque pièce jointe - peu importe son apparence banale.

WIKICROOK

• APT (Advanced Persistent Threat) : Une menace persistante avancée (APT) est une cyberattaque ciblée de longue durée menée par des groupes expérimentés, souvent soutenus par des États, visant à voler des données ou perturber des opérations.
• Fichier LNK : Un fichier LNK est un raccourci Windows qui pointe vers un fichier ou un programme. Les attaquants peuvent exploiter les fichiers LNK pour exécuter des commandes cachées ou des logiciels malveillants.
• mshta.exe : mshta.exe est un outil Windows permettant d’exécuter des applications HTML, mais il est souvent détourné par les attaquants pour exécuter du code malveillant ou diffuser des logiciels malveillants.
• Malware sans fichier : Un malware sans fichier est un logiciel malveillant qui s’exécute en mémoire, sans s’installer sur le disque, ce qui le rend difficile à détecter par les outils de sécurité traditionnels.
• Cheval de Troie d’accès à distance (RAT) : Un cheval de Troie d’accès à distance (RAT) est un logiciel malveillant permettant à des attaquants de contrôler secrètement l’ordinateur d’une victime à distance, facilitant le vol et l’espionnage.