Netcrook Logo
👤 AGONY
🗓️ 22 Apr 2026   🌍 Asia

Signé, Scellé, Infiltré : Comment des hackers ont détourné des outils Microsoft pour infiltrer les banques indiennes

Un groupe d’espionnage lié à la Chine utilise des logiciels signés par Microsoft pour déployer une porte dérobée furtive visant le secteur financier indien.

Imaginez la scène : un ticket de support informatique arrive dans la boîte mail d’une banque indienne. Il paraît légitime, voire urgent. Mais lorsqu’un employé ouvre le fichier joint, il invite sans le savoir une porte dérobée sophistiquée - déguisée en programme Microsoft de confiance - directement sur le réseau de l’entreprise. Ce n’est pas une hypothèse. C’est le mode opératoire d’une campagne de cyber-espionnage récemment découverte, qui réécrit les règles de la confiance et de la tromperie numériques dans le secteur bancaire indien.

En bref

  • Les attaquants détournent un binaire signé par Microsoft pour déployer la porte dérobée LOTUSLITE v1.1 dans les banques indiennes.
  • L’opération est attribuée avec une confiance modérée au groupe d’espionnage chinois Mustang Panda.
  • La chaîne d’attaque commence par des e-mails de spear-phishing déguisés en tickets de support IT utilisant des fichiers CHM.
  • Le sideloading de DLL permet au malware de s’exécuter sous la couverture d’une signature Microsoft de confiance.
  • Le code de LOTUSLITE fait désormais référence spécifiquement à des institutions financières indiennes et échappe à la détection statique.

Au cœur de l’attaque : de la boîte mail à l’intrusion

La campagne, révélée par l’Acronis Threat Research Unit, marque un tournant stratégique pour l’acteur de la menace connu sous le nom de Mustang Panda. Précédemment focalisé sur des cibles gouvernementales américaines, le groupe vise désormais le secteur financier indien, déployant une version améliorée de son malware LOTUSLITE.

L’attaque débute par un e-mail de spear-phishing imitant le service d’assistance informatique d’une banque - accompagné d’un fichier Compiled HTML (CHM) apparemment anodin. Une fois ouvert, ce fichier déclenche une fenêtre pop-up malveillante mais, plus important encore, exécute un code caché qui télécharge un chargeur JavaScript depuis un site compromis.

C’est là que commence la véritable subversion : le JavaScript orchestre l’extraction d’un exécutable authentique signé par Microsoft, Microsoft_DNX.exe, accompagné de la DLL malveillante de l’attaquant. En exploitant une technique appelée sideloading de DLL, le malware s’exécute dans le processus Microsoft de confiance, contournant la plupart des alarmes de sécurité.

La porte dérobée LOTUSLITE v1.1 est conçue pour la furtivité et la persistance. Ses communications transitent via HTTPS chiffré vers un serveur DNS dynamique, rendant la détection réseau difficile. Le code interne du malware fait désormais explicitement référence à des institutions bancaires indiennes, avec des fonctions nommées d’après de vraies banques comme HDFC Bank, preuve d’un ciblage soigneusement adapté.

Pourtant, malgré leur sophistication technique, les attaquants ont laissé des traces subtiles. Du code hérité de campagnes antérieures - comme l’export “KugouMain” d’un précédent schéma de sideloading - reste présent. Ils ont même nargué les chercheurs avec des messages pop-up faisant référence à ceux qui suivent leurs activités, offrant un rare aperçu de la personnalité derrière le code.

La campagne ne s’arrête pas à l’Inde. Des variantes similaires de LOTUSLITE ont été observées lors d’attaques contre des cercles politiques coréens et américains, souvent avec des leurres à thème diplomatique mais réutilisant la même infrastructure technique et le même code malveillant.

Conclusion : La confiance, subvertie

La campagne LOTUSLITE rappelle brutalement que même les logiciels les plus fiables peuvent devenir des armes entre les mains d’attaquants déterminés. En s’appuyant sur la signature numérique de Microsoft, les opérateurs de Mustang Panda ont trouvé un moyen efficace de contourner les défenses - prouvant qu’en cybersécurité, la confiance n’est jamais absolue. Pour les banques indiennes et au-delà, la vigilance doit s’étendre au-delà de l’inconnu, jusqu’aux outils et processus autrefois jugés sûrs.

WIKICROOK

  • DLL Sideloading : Le sideloading de DLL consiste à tromper des programmes de confiance pour qu’ils chargent des fichiers DLL malveillants à la place des fichiers légitimes, permettant des attaques furtives.
  • Backdoor : Une backdoor est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité normaux, souvent utilisé par des attaquants pour prendre le contrôle en secret.
  • Dynamic DNS : Le DNS dynamique met à jour les enregistrements de domaine avec des adresses IP changeantes, aidant les attaquants à dissimuler leurs serveurs en modifiant fréquemment leur emplacement réseau.
  • Spear : Le spear phishing est une cyberattaque ciblée utilisant des e-mails personnalisés pour tromper des individus ou organisations spécifiques et leur soutirer des informations sensibles.
  • Fichier CHM : Un fichier CHM est un format d’aide Windows qui peut être exploité par des attaquants pour diffuser des malwares via des scripts ou objets intégrés.
Cybersecurity India Banks Mustang Panda
AGONY AGONY
Elite Offensive Security Commander
← Back to news