GigaWiper (alias BLUERABBIT) est un backdoor Windows modulaire en Go combinant wiper de bas niveau, faux ransomware à clés perdues et spyware avec VNC caché. Révélé par Microsoft le 9 juillet 2026 et attribué à un groupe Iran-nexus, il cible principalement des organisations israéliennes via une persistance imitant OneDrive.
En bref
- GigaWiper (alias BLUERABBIT) : backdoor Windows modulaire en Go combinant disque wiper, faux ransomware et spyware, révélé par Microsoft le 9 juillet 2026 et attribué à un groupe Iran-nexus ciblant Israël.
- Systèmes affectés : environnements Windows ciblés via des campagnes d'espionnage et de sabotage, principalement au Proche-Orient.
- Action requise : déployer des règles de détection sur le scheduled task "OneDrive Update", surveiller les écritures raw disk et appliquer les IOC publiés par Microsoft.
Les faits
Le 9 juillet 2026, Microsoft Threat Intelligence a publié une analyse technique approfondie de GigaWiper, un backdoor Windows qu'elle suit depuis octobre 2025. Rédigé en langage Go, GigaWiper est décrit par Microsoft comme un "implant polyvalent" combinant des capacités de commandement et de contrôle robustes avec de multiples charges utiles destructives disponibles à la demande. En parallèle, Binary Defense — citant le Google Threat Intelligence Group — a documenté le même malware sous le nom BLUERABBIT et l'a attribué à un groupe Iran-nexus ciblant des organisations en Israël.
Ce qui distingue GigaWiper des autres wipers documentés est son architecture modulaire. Contrairement à des malwares destructifs classiques comme CaddyWiper ou AcidPour, qui embarquent une fonction destructive unique, GigaWiper intègre trois capacités destructives distinctes héritées de familles de malware préexistantes, activables indépendamment via des commandes C2. L'opérateur choisit son mode de destruction en fonction de ses objectifs : effacement total du disque, chiffrement permanent, ou simple surveillance avant escalade.
La première capacité destructive est un wiper de bas niveau opérant directement sur le disque physique. Plutôt que de supprimer des fichiers individuellement, GigaWiper identifie les lecteurs physiques présents, détermine lequel contient l'installation Windows, supprime les références de partition sur les autres lecteurs, écrase le contenu brut du disque, puis redémarre le système. Le résultat est un système irrécupérable sans restauration complète depuis une sauvegarde externe. Cette approche de bas niveau contourne les protections système qui interceptent les suppressions de fichiers ordinaires.
La deuxième capacité destructive est dérivée de la famille ransomware Crucio. Elle chiffre les fichiers de la cible avec des clés générées aléatoirement qui ne sont jamais sauvegardées — ni localement, ni transmises au C2. L'objectif n'est donc pas l'extorsion mais la destruction : les fichiers sont chiffrés de manière permanente et irrécupérable, même si la victime paie. Microsoft qualifie ce module de "faux ransomware" car il imite la forme d'une attaque ransomware — affichage de la demande de rançon, chiffrement des fichiers — sans que la décryptabilité soit techniquement possible.
La troisième composante est un module d'espionnage complet. GigaWiper peut prendre des captures d'écran de l'ensemble des moniteurs connectés, enregistrer l'écran en vidéo pendant que l'utilisateur travaille, et ouvrir une session VNC cachée qui retransmet l'affichage en direct et permet à l'opérateur de contrôler le clavier et la souris à distance. Cette capacité d'espionnage permet aux opérateurs de recueillir du renseignement avant de décider d'activer les charges utiles destructives — une approche qui maximise la valeur opérationnelle de chaque implant.
Pour sa persistance, GigaWiper utilise une technique de camouflage simple mais efficace : il crée une tâche planifiée nommée "OneDrive Update" qui s'exécute chaque minute, et se référence dans une clé de registre sous HKCU\SOFTWARE\OneDrive\Environment. Cette imitation du processus de mise à jour OneDrive vise à se fondre dans le bruit des processus légitimes Microsoft, en pariant sur le fait que les équipes SOC ne scrutent pas systématiquement les tâches planifiées liées à des applications Microsoft connues.
La détection initiale par Microsoft Threat Intelligence remonte à octobre 2025, lors d'activités de wiping destructif dans des organisations ciblées. L'entreprise a néanmoins attendu juillet 2026 pour publier son analyse complète, suggérant une période de collecte de renseignements sur les TTPs de l'opérateur. Binary Defense et Google Threat Intelligence confirment de leur côté l'attribution à un groupe Iran-nexus, identifié comme ciblant prioritairement des organisations israéliennes dans les secteurs gouvernemental, technologique et des infrastructures critiques.
Le profil de GigaWiper s'inscrit dans une tendance documentée depuis 2022 : l'utilisation croissante de malwares destructifs comme outil de cyberguerre hybride, combinant sabotage d'infrastructure, espionnage et brouillage des traces via des faux ransomwares qui orientent l'attribution vers des acteurs criminels plutôt qu'étatiques.
Impact et exposition
GigaWiper cible principalement des organisations dans des contextes géopolitiques de haute tension, avec un focus documenté sur Israël et le Proche-Orient. Les organisations françaises opérant dans ces régions ou entretenant des liens économiques étroits avec des entreprises israéliennes — notamment dans la tech, la défense et les télécoms — présentent un profil de risque accru. Plus largement, l'architecture modulaire de GigaWiper en fait un modèle susceptible d'être réutilisé par d'autres groupes, ce qui justifie le déploiement de détections spécifiques indépendamment du contexte géographique.
Recommandations
- Détecter la tâche planifiée malveillante : surveiller la création de tâches planifiées nommées "OneDrive Update" déclenchées à une fréquence d'une minute, en particulier depuis des processus non-Microsoft.
- Monitorer les accès raw disk : alerter sur toute tentative d'écriture directe sur les disques physiques en dehors des opérations de maintenance connues.
- Appliquer les IOC Microsoft : intégrer les indicateurs de compromission publiés dans le Security Blog de Microsoft du 9 juillet 2026 dans vos outils SIEM et EDR.
- Surveiller les processus VNC non autorisés : toute session VNC ouverte par un processus non référencé dans votre baseline doit déclencher une alerte immédiate.
- Renforcer la politique de sauvegarde : compte tenu du wiper de bas niveau, seules des sauvegardes hors-ligne ou sur support immuable (immutable backups) permettent une récupération fiable après une attaque GigaWiper.
Alerte critique
GigaWiper combine espionnage et destruction sur commande. Sa charge "faux ransomware" chiffre les fichiers avec des clés non sauvegardées — aucun paiement de rançon ne permettra la récupération. Ses sauvegardes doivent être hors-ligne ou immuables pour être exploitables après une attaque. L'imitation d'OneDrive pour la persistance contourne les contrôles basés sur la réputation des éditeurs.
Comment distinguer une attaque GigaWiper d'un ransomware classique lors de la réponse à incident ?
Le signal clé est l'impossibilité de récupération même avec la clé de déchiffrement. Dans un ransomware classique, le paiement donne accès à un déchiffreur fonctionnel car les clés sont conservées par l'opérateur. Dans une attaque GigaWiper avec le module "faux ransomware", les clés de chiffrement sont générées localement et jamais transmises — aucun déchiffreur n'existe. Si la demande de rançon est présente mais que le canal de communication C2 est inexistant ou ne répond pas à l'ouverture d'une négociation, soupçonnez une charge destructive plutôt qu'une tentative d'extorsion. Dans ce cas, basculez immédiatement vers un scénario de restauration depuis sauvegarde plutôt que de gestion de rançon.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Deutsche Bank sur un site de fuite ransomware : le groupe Unsafe revendique une brèche tierce
Le groupe ransomware Unsafe a revendiqué le 4 juillet 2026 une brèche touchant Deutsche Bank via un prestataire marketing tiers. Données salariés (emails, hashes de mots de passe) publiées comme preuve. Illustration directe des risques supply chain et des obligations DORA pour les établissements financiers européens.
Tata Electronics : 630 Go de secrets Apple et Tesla divulgués par le groupe World Leaks
World Leaks (rebrand de Hunter's International) a divulgué 630 Go de données Tata Electronics le 12 juin 2026, incluant des schémas Apple et Tesla confidentiels, des passeports de salariés et des logs de production. Tata a confirmé l'incident le 22 juin. Un exemple emblématique des risques de la supply chain high-tech.
81 millions d'attaques credential spray visant M365
La firme Huntress a documenté une campagne de credential spray sans précédent : 81 millions de tentatives de connexion en 14 jours sur des environnements Microsoft 365, avec 78 comptes compromis dans 64 organisations. L'infrastructure LSHIY LLC et l'abus d'Azure CLI sont au cœur de l'opération.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire