Icônes de la tromperie : comment de fausses alertes antivirus ont visé des entreprises israéliennes lors d’une cyberattaque à enjeux élevés

Lorsqu’un e-mail arrive de votre service informatique avec une mise à jour de sécurité urgente, la plupart des employés ne réfléchissent pas à deux fois avant de l’ouvrir. Mais dans la dernière série d’attaques contre des entreprises israéliennes, cette confiance est devenue une arme - maniée avec une précision glaçante par des cybercriminels exploitant les mêmes marques censées protéger.

Le nouveau cluster de menaces découvert, nommé UNG0801, orchestre une campagne sophistiquée - Opération IconCat - contre des entreprises israéliennes. Selon l’équipe APT de SEQRITE Labs, ces attaques ont débuté à la mi-novembre 2025 et ont principalement visé des prestataires de services informatiques, des sociétés d’intérim et des éditeurs de logiciels.

La stratégie des attaquants est aussi rusée qu’efficace : des e-mails de phishing, rédigés dans un hébreu authentique, imitent des notes internes ou des alertes de cybersécurité. Les victimes reçoivent des pièces jointes qui semblent être des guides antivirus officiels ou des invitations à des webinaires, arborant les logos familiers de Check Point ou SentinelOne. Le piège se referme lorsque les utilisateurs suivent les instructions pour télécharger des « scanners de sécurité » ou activer des macros Word - des actions qui déclenchent la chaîne d’infection.

Deux chaînes d’infection ont été documentées. La première usurpe Check Point, distribuant un PDF nommé help.pdf qui invite les utilisateurs à récupérer un « Security Scanner » depuis Dropbox. Le fichier, protégé par le mot de passe « cloudstar », libère PYTRIC - un implant basé sur Python construit avec PyInstaller. Une fois activé, PYTRIC analyse les fichiers locaux, vérifie les privilèges administrateur et exécute des commandes pour effacer les données système et les sauvegardes. Sa communication avec un bot Telegram laisse penser à des motivations de type wiper, privilégiant le sabotage au vol.

La seconde campagne se fait passer pour SentinelOne, livrant un implant basé sur Rust, RUSTRIC, via des documents Word contenant des macros malveillantes. RUSTRIC se fait passer pour un outil légitime mais réalise en réalité une reconnaissance numérique, répertoriant les produits antivirus et de sécurité des terminaux, et exécutant des commandes d’espionnage classiques telles que whoami et nslookup. Ce malware se connecte à des serveurs distants, facilitant l’accès et la collecte d’informations par les attaquants.

Les deux campagnes exploitent habilement la confiance accordée aux marques de cybersécurité, utilisant des icônes et un langage familiers pour abaisser la vigilance des victimes. Des indices d’infrastructure - tels que des certificats réutilisés et des serveurs VPS à bas coût - suggèrent des acteurs menaçants ingénieux, peut-être basés régionalement, mais l’attribution reste incertaine.

L’Opération IconCat rappelle brutalement que, à l’ère numérique, la confiance est une arme à double tranchant. À mesure que les attaquants se camouflent de plus en plus sous l’apparence de la sécurité, les organisations doivent repenser la façon dont elles authentifient les communications - même celles qui semblent provenir de leurs propres défenseurs.

WIKICROOK

• Phishing : Le phishing est une cybercriminalité où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
• Wiper : Un wiper est un malware qui supprime ou corrompt des données pour causer des dommages ou effacer des traces, rendant la récupération difficile voire impossible.
• Macro VBA : Les macros VBA sont des scripts dans les documents Office qui automatisent des tâches mais peuvent aussi être utilisés pour diffuser des malwares ou exécuter du code malveillant en cas de mauvaise utilisation.
• Implant : Un implant est un outil logiciel ou matériel caché utilisé par des attaquants pour accéder, surveiller ou contrôler secrètement un système ou un appareil cible.
• Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.