Netcrook Logo
👤 CRYSTALPROXY
🗓️ 22 Dec 2025   🌍 South America

Le tribunal cybernétique de la Colombie : le plan furtif de BlindEagle via PowerShell dévoilé

Sous-titre : Une attaque de phishing sophistiquée menée par BlindEagle exploite PowerShell et des malwares en couches pour infiltrer les réseaux gouvernementaux colombiens.

Tout a commencé par un courriel qui paraissait trop banal pour éveiller les soupçons - un message évoquant un litige du travail, apparemment émis depuis le propre ministère colombien du Commerce, de l’Industrie et du Tourisme. Mais derrière ce vernis bureaucratique, selon les enquêteurs, se cachait l’une des menaces d’espionnage cybernétique les plus persistantes d’Amérique du Sud : BlindEagle. Leur dernière campagne, détectée en septembre 2025, révèle un nouveau niveau de ruse technique et une leçon glaçante pour les défenseurs gouvernementaux à travers l’Amérique latine.

En bref

  • BlindEagle a exploité un compte Microsoft 365 compromis pour lancer une attaque de spear-phishing convaincante contre une agence gouvernementale colombienne.
  • La chaîne d’infection utilisait des scripts JavaScript et PowerShell obscurcis pour échapper à la détection et délivrer le malware entièrement en mémoire.
  • Les charges malveillantes étaient dissimulées via la stéganographie et livrées par des plateformes légitimes comme Discord et Internet Archive.
  • Le malware final, DCRAT, offrait aux attaquants un accès profond aux systèmes infectés, incluant enregistrement des frappes et contrôle à distance.
  • Les chercheurs en sécurité attribuent cette campagne à BlindEagle sur la base de l’infrastructure, des cibles et des schémas de réutilisation des malwares.

Au cœur de l’attaque : la tromperie numérique de BlindEagle

L’opération a débuté par un courriel de spear-phishing, déguisé en communication officielle du système judiciaire colombien. Envoyé depuis un compte Microsoft 365 compromis au sein de l’agence ciblée, le message a contourné les protocoles de sécurité habituels, exploitant la confiance inhérente aux communications internes. En pièce jointe, une image SVG à l’apparence anodine. Un simple clic sur cette image la décodait discrètement en un faux portail judiciaire, qui, après un court délai, téléchargeait automatiquement un fichier JavaScript sur la machine de la victime.

Mais ce n’était que le début. Le JavaScript, fortement obscurci par des tableaux d’entiers et des chaînes encodées, lançait une chaîne d’infection en plusieurs étapes. À chaque étape, une nouvelle couche d’obscurcissement était levée, jusqu’à déclencher une commande PowerShell. Pour plus de discrétion, PowerShell était exécuté via Windows Management Instrumentation (WMI), ne laissant presque aucune trace sur le disque.

La prochaine astuce du script PowerShell : télécharger une image depuis Internet Archive. Caché entre des pixels apparemment inoffensifs se trouvait un fragment de code malveillant - encodé en Base64 et encadré par des marqueurs uniques. Décodée directement en mémoire sous forme d’assembly .NET, cette charge libérait Caminho, un téléchargeur de malware issu des milieux cybercriminels brésiliens.

Caminho récupérait l’étape suivante, à nouveau dissimulée dans une chaîne Base64 obscurcie, depuis un fichier hébergé sur Discord. Grâce à une technique appelée process hollowing, le malware s’injectait dans un processus Windows légitime, MSBuild.exe, avant de libérer son arme finale : DCRAT, un puissant cheval de Troie d’accès à distance open source. DCRAT permettait aux attaquants d’enregistrer les frappes clavier, d’accéder aux fichiers et d’exécuter des plugins malveillants supplémentaires - tout en échappant à la détection antivirus grâce à des techniques avancées de contournement AMSI et des communications chiffrées.

Les chercheurs de ThreatLabz chez Zscaler attribuent ces tactiques à BlindEagle, citant le ciblage répété d’institutions colombiennes, l’utilisation de malwares en portugais et une préférence pour dissimuler les charges malveillantes à la vue de tous via la stéganographie et des plateformes cloud légitimes.

Réflexions : l’escalade des enjeux de l’espionnage numérique

Cette campagne marque l’évolution de BlindEagle, passé du simple phishing à des intrusions multi-étapes hautement orchestrées. En exploitant la confiance dans les comptes internes et en superposant leurs méthodes de livraison de malware, le groupe démontre une sophistication inquiétante qui met en danger les agences gouvernementales - et potentiellement toute organisation. Alors que le secteur public d’Amérique latine devient un terrain de chasse privilégié pour les espions numériques, le besoin de solutions avancées de sécurité email et de détection comportementale des menaces n’a jamais été aussi urgent.

WIKICROOK

  • Spear : Le spear phishing est une cyberattaque ciblée utilisant des courriels personnalisés pour tromper des individus ou organisations spécifiques et leur soutirer des informations sensibles.
  • PowerShell : PowerShell est un outil de script Windows utilisé pour l’automatisation, mais les attaquants l’exploitent souvent pour mener des actions malveillantes en toute discrétion.
  • Stéganographie : La stéganographie dissimule des messages ou du code secrets dans des fichiers courants, comme des images ou de l’audio, rendant l’information cachée difficile à détecter.
  • Process hollowing : Le process hollowing est une technique où un malware se cache dans la mémoire d’un programme légitime, lui permettant d’échapper à la détection et d’exécuter des actions malveillantes.
  • Remote Access Trojan (RAT) : Un cheval de Troie d’accès à distance (RAT) est un malware qui permet à des attaquants de contrôler secrètement l’ordinateur d’une victime à distance, facilitant le vol et l’espionnage.
BlindEagle Cyber Espionage PowerShell
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news