Shadow Desktop : Plongée dans le monde furtif de STX RAT, le voleur d’informations fantôme

Tout commence par un simple téléchargement - un installateur familier, un script à l’apparence inoffensive. Mais pour les victimes du tout nouveau STX RAT, ce clic innocent marque le début d’un braquage numérique orchestré depuis l’ombre. Lorsque les équipes de sécurité s’en aperçoivent, les attaquants se sont peut-être déjà infiltrés, ont observé depuis un bureau caché, et sont repartis avec les joyaux de la couronne du réseau - sans laisser quasiment aucune trace.

Fantôme dans la machine : anatomie d’une attaque

La campagne STX RAT ne repose pas sur des leurres de phishing sophistiqués ou des exploits zero-day. Elle cible plutôt les négligents et les curieux - utilisateurs qui téléchargent des installateurs trojanisés, comme de faux setups FileZilla, ou ouvrent des fichiers VBScript piégés depuis le web. La chaîne d’infection est méticuleusement conçue : un script malveillant déclenche une cascade qui aboutit à un loader PowerShell, lequel déploie furtivement la charge principale directement en mémoire, sans jamais toucher le disque dur - une attaque fileless classique.

Mais la véritable innovation de STX RAT réside dans son engagement pour l’invisibilité. Avant toute action, il recherche les signes révélateurs de machines virtuelles, de débogueurs et d’outils de sécurité. S’il soupçonne d’être observé, il s’autodétruit, laissant les chercheurs bredouilles. Ses communications sont tout aussi insaisissables : tout le trafic vers ses serveurs de commande et contrôle (C2) est dissimulé derrière des couches de cryptographie forte et de protocoles personnalisés, apparaissant comme des données incompréhensibles pour les moniteurs réseau.

Mains cachées : contrôle à distance et vol de données

Une fois à l’intérieur, STX RAT offre à ses opérateurs un « bureau caché » via une fonctionnalité appelée Hidden VNC (HVNC). Les attaquants peuvent interagir en temps réel avec l’ordinateur de la victime - déplacer la souris, taper des commandes, changer de bureau - sans que l’utilisateur ne remarque quoi que ce soit. Cette interface invisible change la donne, permettant des attaques manuelles comme le vol d’identifiants ou la fraude sans déclencher d’alerte.

Cependant, les fonctions de vol d’informations du malware sont verrouillées : elles restent dormantes jusqu’à ce que le C2 envoie une commande directe « getcreds ». Ce n’est qu’alors que STX RAT collecte les identifiants de navigateur, secrets FTP, portefeuilles crypto et plus encore - prenant une capture d’écran du bureau pour plus de contexte - avant d’exfiltrer le butin via des canaux chiffrés. Cette approche « à la demande » déjoue l’analyse automatisée en sandbox et frustre les défenseurs à la recherche d’indices comportementaux.

Persistance, évasion et défense

Pour survivre aux redémarrages et tentatives de nettoyage, STX RAT utilise tout un arsenal de techniques de persistance : clés Run du registre, détournement COM, abus de MSBuild, le tout conçu pour passer sous le radar des défenses classiques. Il dresse également l’inventaire des produits de sécurité installés, envoyant un profil de l’hôte compromis à ses opérateurs.

Les experts en sécurité avertissent que STX RAT est un signe avant-coureur de ce qui nous attend - une menace mature et discrète, mêlant cryptographie moderne, exécution fileless et accès interactif. Les défenseurs sont invités à renforcer les politiques d’exécution des scripts, désactiver les moteurs de script Windows à risque et déployer des outils avancés de détection sur les endpoints capables de repérer de telles intrusions subtiles.

Conclusion : L’ennemi invisible

STX RAT n’est pas un simple malware de plus - c’est un modèle pour les intrusions cyber de nouvelle génération, où les attaquants se cachent à la vue de tous et n’agissent que lorsque la voie est libre. À mesure que les menaces numériques deviennent toujours plus rusées, la bataille pour les endpoints se gagnera non seulement avec de meilleurs outils, mais aussi avec une vigilance de tous les instants et une bonne dose de scepticisme envers chaque téléchargement et chaque script.

WIKICROOK

• PowerShell : PowerShell est un outil de script Windows utilisé pour l’automatisation, mais les attaquants l’exploitent souvent pour mener des actions malveillantes en toute discrétion.
• Hidden VNC (HVNC) : Hidden VNC est un outil d’accès à distance furtif qui permet aux attaquants de contrôler un appareil via une session invisible, restant indétecté par l’utilisateur.
• Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
• Malware fileless : Un malware fileless est un logiciel malveillant qui s’exécute en mémoire, évitant le stockage sur disque et rendant sa détection difficile pour les outils de sécurité traditionnels.
• Persistance : La persistance regroupe les techniques utilisées par les malwares pour survivre aux redémarrages et rester cachés sur les systèmes, souvent en imitant des processus ou mises à jour légitimes.