XENOFISCAL : SideCopy et XenoRAT ciblent les finances de l'État afghan

Un groupe APT pakistanais prend pour cible les finances d'État afghanes

Les chercheurs de Seqrite Labs ont publié le 2 juin 2026 une analyse détaillée d'une campagne de cyberespionnage baptisée Operation XENOFISCAL. Le groupe responsable, SideCopy, est un acteur de la menace aligné sur le Pakistan, considéré par les analystes comme un sous-cluster d'APT36 (Transparent Tribe) — le principal groupe d'espionnage lié à l'ISI pakistanais. SideCopy opère depuis au moins 2019 et s'est historiquement concentré sur les cibles militaires et gouvernementales indiennes avant d'élargir son périmètre opérationnel à l'Afghanistan ces deux dernières années.

La cible de cette campagne est particulièrement sensible : le ministère des Finances afghan (MoF) et, de façon plus large, les 34 Mustoufiats — les directions provinciales des revenus et des finances qui constituent l'épine dorsale fiscale de l'administration Taliban. Ces structures gèrent les flux de trésorerie, les recettes douanières et les transferts budgétaires interprovinciaux. Un accès persistant à ces systèmes représente une mine d'informations stratégiques sur la santé économique du pays, les circuits de financement, et potentiellement les identités des fonctionnaires qui collaborent avec des organisations internationales.

L'entrée en matière de l'attaque repose sur un spear-phishing soigneusement préparé. Les victimes reçoivent une archive ZIP contenant un fichier LNK dont le nom est rédigé en langue pachtoune — langue native des fonctionnaires ciblés. Cette localisation linguistique est un indicateur fort de la précision du ciblage : l'attaquant a investi du temps pour adapter ses leurres aux habitudes culturelles de ses victimes. Au moment où l'utilisateur double-clique sur le fichier LNK, Windows exécute en arrière-plan la commande encodée qui y est dissimulée.

La chaîne d'infection est sophistiquée et conçue pour contourner les défenses de sécurité endpoint classiques. La commande cachée dans le LNK invoque mshta.exe — un binaire légitime de Windows (Microsoft HTML Application Host) — pour télécharger et exécuter une application HTA hébergée sur un domaine éducatif afghan préalablement compromis. Ce domaine légitime sert de vecteur de confiance pour passer les filtres de réputation des proxies et des antivirus. L'HTA contient du JavaScript obfusqué qui déroule la suite de l'infection.

Les stages suivants s'appuient massivement sur des techniques « living-off-the-land » (LotL) — l'exploitation de binaires légitimes du système d'exploitation pour éviter la détection par signature. Seqrite Labs a identifié des routines personnalisées de décodage Base64 et de décompression GZIP, de la réflexion en mémoire (in-memory reflection), et une persistance établie via deux mécanismes : une clé Run dans le registre Windows et une tâche planifiée. Le payload principal n'est jamais écrit sur le disque dans sa forme finale — il est chargé entièrement en mémoire via un shellcode exploitant le reflective loading, une technique qui contourne efficacement les antivirus basés sur la détection de fichiers.

Le RAT déployé en phase finale est XenoRAT version 1.8.7, un outil open source disponible sur GitHub. Seqrite Labs avait documenté en décembre 2024 que SideCopy avait formellement adopté des variantes personnalisées de XenoRAT dans son arsenal, dans le prolongement d'une tendance plus large des groupes APT vers des outils publics difficiles à attribuer. La connexion C2 est établie via un protocole chiffré vers des serveurs hébergés dans des infrastructures bulletproof à Francfort, Allemagne — choix délibéré pour maximiser la latence judiciaire en cas de demande d'entraide internationale.

Une fois en place, XenoRAT offre un accès complet à la machine compromise : enregistrement des frappes clavier (keylogging), capture d'écran en temps réel, surveillance via la webcam et le microphone, tunneling réseau via SOCKS5 permettant de rebondir vers d'autres systèmes du réseau interne, et chargement dynamique de DLL supplémentaires en mémoire via Assembly.Load — ce qui permet à l'opérateur d'enrichir les capacités du RAT sans nouveau téléchargement détectable sur le réseau.

L'attribution à SideCopy repose sur plusieurs éléments convergents : la concordance avec les TTPs (tactiques, techniques et procédures) documentées de ce groupe, la réutilisation d'infrastructures C2 identifiées dans des campagnes précédentes, et l'adoption de XenoRAT formellement intégrée à l'arsenal SideCopy six mois plus tôt. Des règles de détection SIGMA ont été publiées par SOC Prime pour aider les équipes SOC à identifier cette chaîne d'infection spécifique.

L'Afghanistan au cœur des rivalités cyber régionales

La campagne XENOFISCAL s'inscrit dans un contexte géopolitique complexe. Depuis la prise de pouvoir par les Taliban en août 2021, l'Afghanistan est resté sous surveillance intensive de plusieurs services de renseignement régionaux. Le Pakistan, qui partage une frontière de 2 600 km avec l'Afghanistan et entretient des relations tendues avec Kaboul, a des intérêts manifestes à surveiller les flux financiers et la capacité administrative du gouvernement afghan — notamment pour anticiper d'éventuels transferts de fonds vers des groupes qui lui sont hostiles.

Le ciblage des Mustoufiats est stratégiquement pertinent. Ces structures ne sont pas de simples centres de collecte d'impôts : elles sont les nœuds par lesquels transitent les informations sur la production agricole, les projets d'infrastructure, et les recettes générées dans chaque province. Un accès persistant à ces données donne une image précise de la résilience économique de chaque région, informant des analyses de stabilité interne à haute valeur pour le renseignement.

Pour les entreprises françaises opérant dans des zones à risque similaire — notamment dans le Maghreb et en Afrique subsaharienne — la campagne XENOFISCAL illustre plusieurs risques concrets. D'abord, la localisation linguistique des leurres : les attaquants ont investi du temps pour créer des fichiers LNK en pachtoune, ce qui signifie que les défenses doivent aller au-delà des filtres de langue dominante. Ensuite, l'utilisation de domaines légitimes compromis comme relais d'infection rend les listes noires d'URL inopérantes si elles ne sont pas enrichies en temps réel par des flux de threat intelligence.

L'adoption d'outils open source comme XenoRAT par des groupes étatiques sophistiqués redessine le paysage de la threat intelligence. Si l'on pouvait auparavant attribuer l'utilisation d'un RAT custom à un acteur précis, la banalisation de l'outillage public brouille les pistes. Les équipes SOC doivent donc se concentrer davantage sur les comportements TTPs définis dans le framework MITRE ATT&CK que sur les IOC statiques pour rester pertinentes face à ces évolutions.

Ce qu'il faut retenir

• SideCopy (sous-cluster d'APT36, Pakistan) a ciblé le ministère des Finances afghan et ses 34 directions provinciales via une chaîne LNK pachtoune → mshta.exe → HTA → XenoRAT 1.8.7.
• Le payload est déployé entièrement en mémoire via reflective loading — sans écriture disque — offrant keylogging, webcam, SOCKS5 et persistence multi-mécanismes.
• La tendance APT vers les outils open source rend l'attribution par signature obsolète : les équipes SOC doivent pivoter vers la détection comportementale (TTPs MITRE ATT&CK).