Dans le labyrinthe de MetaRAT : comment des hackers chinois ont exploité les failles d’Ivanti pour infiltrer les géants japonais du transport maritime

Par un calme matin d’avril 2025, le cœur numérique de l’industrie maritime japonaise a commencé à battre la chamade. Sans avertissement, des assaillants - opérant dans l’ombre et armés de malwares de pointe - ont franchi les défenses, exploitant des failles négligées dans les appliances Ivanti Connect Secure. Ce qui a suivi fut un cas d’école d’espionnage cybernétique : précision, discrétion, et une démonstration glaçante de l’évolution du malware moderne.

Anatomie d’une infiltration cybernétique moderne

L’intrusion a commencé par une tactique familière mais redoutable : l’exploitation de vulnérabilités non corrigées dans les appareils Ivanti Connect Secure (ICS) largement déployés. La société japonaise de cybersécurité LAC a retracé l’incident jusqu’aux failles CVE-2024-21893 et CVE-2024-21887, qui ont ouvert l’accès à certains des réseaux de transport et de logistique les plus critiques du Japon.

Mais les attaquants ne se sont pas contentés d’une simple brèche. S’appuyant sur des identifiants privilégiés - certains extraits d’Active Directory - ils se sont déplacés latéralement, ciblant les serveurs internes avec une nouvelle génération de cheval de Troie d’accès à distance (RAT) : MetaRAT, un descendant de PlugX conçu pour la furtivité et la résilience.

MetaRAT : évolution d’un prédateur numérique

MetaRAT, écrit en C/C++, n’est pas un RAT ordinaire. Actif depuis au moins 2022, cette variante utilise le side-loading de DLL et des charges utiles chiffrées pour s’injecter directement en mémoire, contournant ainsi de nombreuses défenses traditionnelles. Son chargeur (mytilus3.dll) et la charge utile chiffrée “materoll” sont activés via le Reflective Loading, une technique qui rend la détection exponentiellement plus difficile.

Sous le capot, MetaRAT déploie un chiffrement AES-256, du hachage d’API et des fonctions anti-debug qui détruisent les clés cryptographiques si les analystes s’approchent trop. Sa communication est tout aussi insaisissable : il imite un trafic web anodin (comme des fichiers JavaScript ou CSS), utilisant des identifiants uniques tels que “Cookie-Yaga” pour se fondre dans la masse et éviter la détection. Des plugins modulaires permettent l’enregistrement des frappes, l’exécution de commandes et le tunneling furtif de ports.

Les attaquants ont également déployé Talisman PlugX, une autre variante évolutive de PlugX, qui utilise des techniques de furtivité similaires mais avec des signatures distinctes - des modifications subtiles d’en-têtes conçues pour tromper les outils de sécurité modernes.

Qui tire les ficelles ?

Si l’attribution reste toujours délicate, l’analyse de LAC pointe vers des groupes liés à l’État chinois - Space Pirates, Calypso, et peut-être RedFoxtrot. Le recoupement des infrastructures et du code malveillant avec des familles comme RainyDay et Turian renforce cette hypothèse. Notamment, les attaquants semblaient davantage intéressés par la préparation du terrain - collecte d’identifiants et maintien de la persistance - que par un vol de données immédiat.

Et maintenant ?

Pour les défenseurs, le message est clair : appliquez les correctifs sans attendre, surveillez activement et traquez les indices révélateurs comme le fichier suspect VniFile.hlp ou la clé de registre matesile. Avec MetaRAT et ses semblables en constante évolution, la complaisance n’est pas une option. Le prochain chapitre de cette course à l’armement cybernétique est déjà en train de s’écrire.