
Malware Brief : un quatuor de logiciels malveillants travaillant de concert
Dans le Malware Brief d'aujourd'hui, nous allons examiner rapidement quatre exemples différents de logiciels malveillants apparus à peu près au même moment. Ils illustrent la chaîne complexe de menaces utilisées conjointement, parfois par différents groupes à des fins différentes.
Dans le cas qui nous intéresse, les quatre logiciels malveillants (RomCom RAT, TransferLoader, MeltingClaw et DustyHammock) ont été identifiés au début des années 2020, à la suite de l'invasion russe de l'Ukraine. Ils ont été, et sont, largement utilisés par des groupes russophones contre des cibles ukrainiennes, polonaises et certaines cibles russes.
RomCom RAT
Type : cheval de Troie d'accès à distance (RAT)
Distribution : campagnes d’hameçonnage, URL compromises, téléchargements de faux logiciels
Variante : SingleCamper
Première identification : 2022
Cibles courantes : Principalement déployées contre des cibles en Ukraine
Opérateurs connus : TA829, UAT-5647
RomCom RAT est utilisé par les pirates pour créer une porte dérobée permettant de contrôler à distance les ordinateurs terminaux. Le groupe TA829, lié à la Russie, utilise cet outil et d'autres pour collecter des renseignements et commettre des fraudes financières. Ce groupe exploite généralement les vulnérabilités de Mozilla Firefox et Microsoft Windows pour diffuser RomCom RAT.
Une fois qu'un système est compromis par RomCom RAT, le pirate y insère généralement un chargeur furtif tel que TransferLoader ou SlipScreen. Ils sont ensuite utilisés pour charger un ransomware dans le système cible.
Il a d'abord été utilisé principalement contre des cibles ukrainiennes et polonaises par des groupes russophones, avant d'être adapté à la criminalité financière.
TransferLoader
Type : chargeur de logiciels malveillants
Distribution : campagnes d’hameçonnage sur le thème des candidatures à un emploi, compromission par cheval de Troie d’accès à distance
Première identification : février 2025
Opérateurs connus : UNK_GreenSec , RomCom
TransderLoader combine un téléchargeur, une porte dérobée et un chargeur de porte dérobée pour permettre aux pirates d'apporter des modifications aux systèmes compromis et d'insérer un ransomware ou un autre logiciel malveillant.
Il a été découvert pour la première fois lorsqu’il a été utilisé pour charger le ransomware Morpheus dans le système d’un cabinet d’avocats américain. Il a depuis été utilisé pour installer des logiciels malveillants tels que MeltingClaw et DustyHammer.
TransferLoader a été conçu pour la furtivité, utilisant diverses techniques pour éviter la détection. Lors de l'exécution d'un code malveillant téléchargé, il masque son activité en ouvrant des fichiers PDF leurres.
MeltingClaw
Type : Téléchargeur
Variante : RustyClaw
Première identification : 2024
Opérateurs/créateurs connus : RomCom — alias Storm-0978, UAC-0180, Void Rabisu, UNC2596 et Tropical Scorpius
Des campagnes avancées d’harponnage ont été utilisées pour diffuser les téléchargeurs MeltingClaw et son cousin RustyClaw. Ensuite, ils téléchargent et installent les portes dérobées DustyHammock ou ShadyHammock.
Ces portes dérobées furtives permettent d'accéder à long terme aux systèmes cibles, de trouver et d'exfiltrer des données ou d'effectuer d'autres tâches malveillantes. Il a été utilisé pour l'espionnage et le sabotage de systèmes en Ukraine lors de l'invasion russe.
DustyHammock
Type : porte dérobée
Variante : ShadyHammock
Première identification : 2024
DustyHammock est conçu pour communiquer avec un serveur de commande et de contrôle, effectuer une reconnaissance initiale sur les systèmes ciblés et permettre aux pirates d'exécuter des commandes arbitraires, ainsi que de télécharger et de placer des fichiers malveillants.
Conçu pour permettre un accès à long terme tout en échappant à la détection, DustyHammock a été utilisé pour l'exfiltration de données, l'espionnage et le sabotage.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter