Le CERT-UA détaille le 16 avril 2026 la campagne UAC-0247 contre hôpitaux et gouvernement ukrainiens, avec les voleurs CHROMELEVATOR et ZAPIXDESK.
En bref
- Le CERT-UA a détaillé le 16 avril une campagne attribuée au cluster UAC-0247 ciblant cliniques municipales, hôpitaux d'urgence et institutions gouvernementales ukrainiennes entre mars et avril 2026.
- Les attaquants exfiltrent les identifiants des navigateurs Chromium via l'outil CHROMELEVATOR et les données WhatsApp via ZAPIXDESK, après hameçonnage d'aide humanitaire.
- L'origine du groupe reste inconnue, mais le mode opératoire combine site légitime piégé via XSS, sites factices générés par IA et mineurs cachés dans WireGuard.
Ce qui s'est passé
L'équipe nationale de réponse aux incidents informatiques d'Ukraine (CERT-UA) a publié le 16 avril 2026 un rapport sur la campagne UAC-0247, observée entre mars et avril contre des cliniques, hôpitaux d'urgence et collectivités du pays. Le point d'entrée est un courriel se présentant comme une proposition d'aide humanitaire, qui pousse la cible à cliquer sur un lien menant soit à un site légitime piégé via une vulnérabilité de cross-site scripting, soit à un site factice fabriqué à l'aide d'outils d'IA générative.
Une fois la machine compromise, les attaquants déploient deux outils dédiés. CHROMELEVATOR vise l'extraction des identifiants stockés dans les navigateurs Chromium, tandis que ZAPIXDESK siphonne les données de WhatsApp Desktop. La reconnaissance interne s'appuie sur des scripts maison et des outils publics comme RUSTSCAN, et le mouvement latéral utilise les tunnels LIGOLO-NG et CHISEL pour rester discret. Dans au moins un incident, le mineur de cryptomonnaie XMRIG a été embarqué dans une version modifiée de l'application légitime WireGuard.
Selon The Hacker News et Security Affairs, le CERT-UA relie aussi cette activité à un précédent volet en mars contre des opérateurs de drones FPV du secteur de la défense ukrainienne, distribuant via la messagerie Signal une mise à jour piégée d'un logiciel utilisé par ces équipes.
Pourquoi c'est important
Cibler simultanément des hôpitaux et l'appareil d'État ukrainien combine pression humanitaire et collecte de renseignement. Les outils dédiés CHROMELEVATOR et ZAPIXDESK montrent que les attaquants industrialisent désormais l'extraction de cookies, sessions et conversations chiffrées de bout en bout, en passant par le poste de travail plutôt qu'en cassant le chiffrement. Pour les hôpitaux européens, le mode opératoire est directement transposable : un courriel humanitaire crédible, un site légitime piégé et un navigateur qui devient le point d'entrée vers tout l'écosystème métier.
Ce qu'il faut retenir
- UAC-0247 abuse d'une thématique d'aide humanitaire pour piéger personnels hospitaliers et agents publics ukrainiens.
- CHROMELEVATOR (navigateurs) et ZAPIXDESK (WhatsApp) ciblent les données les plus sensibles du poste de travail.
- À court terme : durcir la politique de mots de passe stockés dans Chromium, restreindre WhatsApp Desktop et bloquer les tunnels sortants type LIGOLO-NG/CHISEL.
Comment détecter CHROMELEVATOR sur un poste compromis ?
L'outil tente d'accéder aux fichiers Login Data et Cookies des profils Chromium et de déchiffrer la clé maître via DPAPI. Surveillez les processus inhabituels qui lisent ces fichiers, les sorties réseau vers des domaines récemment enregistrés et les connexions sortantes vers des tunnels LIGOLO-NG ou CHISEL en TCP non standard.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
170 procureurs ukrainiens piratés par des hackers liés à la Russie
Reuters révèle le 16 avril 2026 la compromission de 170 boîtes mail de procureurs et enquêteurs ukrainiens par des hackers liés à la Russie. 284 intrusions documentées sur 18 mois.
Cookeville Regional Medical Center : 337 917 patients touchés par Rhysida
Cookeville Regional Medical Center (Tennessee) a notifié le 16 avril 2026 plus de 337 000 patients d'une fuite de données suite à un ransomware Rhysida survenu en juillet 2025. 500 Go exfiltrés.
Ni8mare : faille CVSS 10.0 dans n8n (CVE-2026-21858)
Une vulnérabilité maximale CVSS 10.0 dans la plateforme d'automatisation n8n permet la prise de contrôle non authentifiée. Cyera Research la baptise Ni8mare. Toutes les versions antérieures à 1.121.0 sont concernées.
Commentaires (1)
Laisser un commentaire