APT28 (Fancy Bear) déploie deux malwares inédits, BadPaw et MeowMeow, contre des entités gouvernementales ukrainiennes. ClearSky détaille la chaîne d'attaque complète.
En bref
- APT28 (Fancy Bear, GRU russe) déploie deux nouveaux malwares — BadPaw (loader .NET) et MeowMeow (backdoor) — contre des entités ukrainiennes
- Cibles prioritaires : entités gouvernementales, militaires et industrielles ukrainiennes
- Protections clés : bloquer LNK/HTA en entrée email, activer les règles ASR, surveiller les tâches planifiées (Event ID 4698)
Les faits
Des chercheurs de ClearSky Cyber Security ont divulgué en mars 2026 les détails techniques de deux familles de malwares inédites attribuées avec une confiance modérée au groupe APT28, connu également sous les noms Fancy Bear et Forest Blizzard, opérant pour le compte du GRU (renseignement militaire russe). Baptisés BadPaw et MeowMeow, ces outils ont été déployés contre des entités gouvernementales, militaires et industrielles ukrainiennes dans une campagne de spear-phishing sophistiquée exploitant des leurres documentaires thématiques. La chaîne d'attaque débute par un email contenant une archive ZIP ; à l'ouverture, une application HTML (HTA) affiche un document leurre en langue ukrainienne portant sur des formulaires de passage de frontière, pendant que BadPaw s'exécute silencieusement en arrière-plan. BadPaw intègre des vérifications anti-sandbox, extrait des payloads VBScript obfusqués dissimulés dans des images PNG par stéganographie, crée des tâches planifiées pour assurer sa persistance, puis télécharge et déploie MeowMeow depuis des serveurs C2 distants. MeowMeow supporte l'exécution de commandes PowerShell, des opérations sur le système de fichiers et une surveillance à long terme de la machine compromise. Des chaînes en langue russe ont été retrouvées dans le code source, renforçant l'attribution. La recherche ClearSky et The Hacker News détaillent les indicateurs de compromission disponibles.
Sur le plan des TTPs (Techniques, Tactiques et Procédures), la campagne s'inscrit dans la continuité des opérations APT28 depuis 2014, mais avec des outils entièrement réécrits pour échapper aux signatures existantes. L'usage de la stéganographie pour dissimuler des payloads dans des images PNG constitue une évolution notable contournant certains proxies d'inspection de contenu. La persistance via tâches planifiées Windows correspond à la technique T1053.005 du framework MITRE ATT&CK. MeowMeow adopte une architecture modulaire facilitant l'ajout de nouvelles capacités par les opérateurs. Le chevauchement d'infrastructure avec des campagnes APT28 antérieures et les leurres documentaires en ukrainien renforcent l'attribution au GRU russe.
Impact et exposition
La campagne BadPaw/MeowMeow cible en priorité les entités ukrainiennes, mais le contexte géopolitique implique un risque de contagion pour les organisations européennes et françaises en contact avec des partenaires ukrainiens ou des entités de défense. APT28 a historiquement ciblé des gouvernements de l'OTAN, des think tanks, des ONG et des médias. L'utilisation de nouveaux malwares non détectés par les signatures antivirus classiques augmente la probabilité d'intrusions non détectées dans les premières semaines. Consultez également notre analyse de la campagne CERT-FR sur les messageries détournées sans malware et de l'opération Handala wiper sur Stryker pour une vue d'ensemble des menaces APT actuelles.
Recommandations
- Bloquer la réception et l'exécution de fichiers LNK, HTA et ZIP provenant de sources externes au niveau du gateway email
- Activer les règles Microsoft Defender ASR bloquant l'exécution de scripts depuis des processus Office et HTA
- Surveiller la création de tâches planifiées depuis des contextes non-administrateurs (Event ID 4698)
- Détecter les processus PowerShell et WScript/CScript enfants de mshta.exe ou wscript.exe via EDR
- Intégrer les IoCs APT28/BadPaw publiés par ClearSky et le CERT-UA dans le SIEM immédiatement
Comment détecter une infection par MeowMeow sur un poste Windows ?
Plusieurs indicateurs de compromission permettent de détecter MeowMeow : surveiller la création de tâches planifiées inhabituelles depuis des répertoires temporaires ou utilisateur (Event ID 4698), détecter des connexions sortantes vers des IP ou domaines non répertoriés dans la baseline réseau, et rechercher des processus PowerShell ou cmd.exe enfants d'applications HTA (mshta.exe). Une analyse de mémoire avec des outils comme Volatility peut révéler des injections de code typiques du loader BadPaw. Les règles Sigma et YARA associées ont été publiées par ClearSky et sont directement intégrables dans la plupart des SIEM du marché.
À retenir
- APT28 déploie deux nouveaux malwares (BadPaw + MeowMeow) contre l'Ukraine via spear-phishing et stéganographie PNG
- Chaîne d'attaque : archive ZIP → HTA leurre → BadPaw loader → tâches planifiées → MeowMeow backdoor PowerShell
- IoCs disponibles auprès de ClearSky et CERT-UA — à intégrer immédiatement dans les systèmes de détection
Comment détecter une infection par BadPaw et MeowMeow sur mon réseau ?
La détection repose sur les indicateurs de compromission (IoCs) publiés : hachages des binaires, domaines C2 et adresses IP associées. Côté comportemental, surveiller les créations de tâches planifiées inhabituelles (Event ID 4698), les connexions PowerShell sortantes vers des destinations inconnues, et les accès aux dossiers système par des processus non légitimes. Les règles YARA et Sigma correspondant aux TTPs documentés doivent être déployées sur les EDR et SIEM en priorité.
Quelles sont les cibles prioritaires de ce groupe APT ?
Ce groupe cible principalement les entités gouvernementales, militaires et du secteur de la défense, ainsi que les infrastructures critiques. Les campagnes de spear-phishing utilisent des leurres documentaires thématiques adaptés à chaque cible. Les organisations de recherche, les médias et les ONG intervenant en zone de conflit sont également dans le périmètre opérationnel habituel de ce groupe APT.
Faut-il bloquer tous les fichiers HTA et LNK en entrée email ?
Oui — le blocage des extensions HTA, LNK, WSF et VBS en entrée email est une mesure fondamentale recommandée par l'ANSSI et le CERT-FR. Ces formats sont rarement légitimes dans des échanges professionnels et constituent des vecteurs d'exécution privilégiés pour les groupes APT. La règle doit être appliquée sur la passerelle email (SEG) et non uniquement côté antivirus endpoint.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est un expert senior en cybersécurité offensive et intelligence artificielle avec plus de 20 ans d'expérience. Spécialisé en rétro-ingénierie, forensics numériques et développement de modèles IA, il accompagne les organisations dans la sécurisation d'infrastructures critiques.
Expert judiciaire et conférencier reconnu, il intervient auprès des plus grandes organisations françaises et européennes. Ses domaines couvrent l'audit Active Directory, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares et l'IA générative (RAG, LLM).
Ressources & Outils de l'auteur
Articles connexes
Mandiant M-Trends 2026 : accès initial cédé en 22 secondes
Le rapport M-Trends 2026 de Mandiant révèle que l'accès initial est cédé en 22 secondes et que les ransomwares adoptent le recovery denial pour rendre toute restauration impossible.
Medusa Ransomware : 9 jours hors-ligne pour un hôpital US
Medusa ransomware a paralysé le University of Mississippi Medical Center pendant 9 jours : 35 cliniques fermées, 1 To de données médicales exfiltrées, rançon de 800 000 dollars.
GlassWorm utilise Solana comme C2 pour son RAT furtif
GlassWorm utilise la blockchain Solana comme dead drop C2 et cible pour la première fois l'écosystème MCP, rendant son RAT quasi impossible à bloquer.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire