En bref

  • GigaWiper (alias BLUERABBIT) : backdoor Windows modulaire en Go combinant disque wiper, faux ransomware et spyware, révélé par Microsoft le 9 juillet 2026 et attribué à un groupe Iran-nexus ciblant Israël.
  • Systèmes affectés : environnements Windows ciblés via des campagnes d'espionnage et de sabotage, principalement au Proche-Orient.
  • Action requise : déployer des règles de détection sur le scheduled task "OneDrive Update", surveiller les écritures raw disk et appliquer les IOC publiés par Microsoft.

Les faits

Le 9 juillet 2026, Microsoft Threat Intelligence a publié une analyse technique approfondie de GigaWiper, un backdoor Windows qu'elle suit depuis octobre 2025. Rédigé en langage Go, GigaWiper est décrit par Microsoft comme un "implant polyvalent" combinant des capacités de commandement et de contrôle robustes avec de multiples charges utiles destructives disponibles à la demande. En parallèle, Binary Defense — citant le Google Threat Intelligence Group — a documenté le même malware sous le nom BLUERABBIT et l'a attribué à un groupe Iran-nexus ciblant des organisations en Israël.

Ce qui distingue GigaWiper des autres wipers documentés est son architecture modulaire. Contrairement à des malwares destructifs classiques comme CaddyWiper ou AcidPour, qui embarquent une fonction destructive unique, GigaWiper intègre trois capacités destructives distinctes héritées de familles de malware préexistantes, activables indépendamment via des commandes C2. L'opérateur choisit son mode de destruction en fonction de ses objectifs : effacement total du disque, chiffrement permanent, ou simple surveillance avant escalade.

La première capacité destructive est un wiper de bas niveau opérant directement sur le disque physique. Plutôt que de supprimer des fichiers individuellement, GigaWiper identifie les lecteurs physiques présents, détermine lequel contient l'installation Windows, supprime les références de partition sur les autres lecteurs, écrase le contenu brut du disque, puis redémarre le système. Le résultat est un système irrécupérable sans restauration complète depuis une sauvegarde externe. Cette approche de bas niveau contourne les protections système qui interceptent les suppressions de fichiers ordinaires.

La deuxième capacité destructive est dérivée de la famille ransomware Crucio. Elle chiffre les fichiers de la cible avec des clés générées aléatoirement qui ne sont jamais sauvegardées — ni localement, ni transmises au C2. L'objectif n'est donc pas l'extorsion mais la destruction : les fichiers sont chiffrés de manière permanente et irrécupérable, même si la victime paie. Microsoft qualifie ce module de "faux ransomware" car il imite la forme d'une attaque ransomware — affichage de la demande de rançon, chiffrement des fichiers — sans que la décryptabilité soit techniquement possible.

La troisième composante est un module d'espionnage complet. GigaWiper peut prendre des captures d'écran de l'ensemble des moniteurs connectés, enregistrer l'écran en vidéo pendant que l'utilisateur travaille, et ouvrir une session VNC cachée qui retransmet l'affichage en direct et permet à l'opérateur de contrôler le clavier et la souris à distance. Cette capacité d'espionnage permet aux opérateurs de recueillir du renseignement avant de décider d'activer les charges utiles destructives — une approche qui maximise la valeur opérationnelle de chaque implant.

Pour sa persistance, GigaWiper utilise une technique de camouflage simple mais efficace : il crée une tâche planifiée nommée "OneDrive Update" qui s'exécute chaque minute, et se référence dans une clé de registre sous HKCU\SOFTWARE\OneDrive\Environment. Cette imitation du processus de mise à jour OneDrive vise à se fondre dans le bruit des processus légitimes Microsoft, en pariant sur le fait que les équipes SOC ne scrutent pas systématiquement les tâches planifiées liées à des applications Microsoft connues.

La détection initiale par Microsoft Threat Intelligence remonte à octobre 2025, lors d'activités de wiping destructif dans des organisations ciblées. L'entreprise a néanmoins attendu juillet 2026 pour publier son analyse complète, suggérant une période de collecte de renseignements sur les TTPs de l'opérateur. Binary Defense et Google Threat Intelligence confirment de leur côté l'attribution à un groupe Iran-nexus, identifié comme ciblant prioritairement des organisations israéliennes dans les secteurs gouvernemental, technologique et des infrastructures critiques.

Le profil de GigaWiper s'inscrit dans une tendance documentée depuis 2022 : l'utilisation croissante de malwares destructifs comme outil de cyberguerre hybride, combinant sabotage d'infrastructure, espionnage et brouillage des traces via des faux ransomwares qui orientent l'attribution vers des acteurs criminels plutôt qu'étatiques.

Impact et exposition

GigaWiper cible principalement des organisations dans des contextes géopolitiques de haute tension, avec un focus documenté sur Israël et le Proche-Orient. Les organisations françaises opérant dans ces régions ou entretenant des liens économiques étroits avec des entreprises israéliennes — notamment dans la tech, la défense et les télécoms — présentent un profil de risque accru. Plus largement, l'architecture modulaire de GigaWiper en fait un modèle susceptible d'être réutilisé par d'autres groupes, ce qui justifie le déploiement de détections spécifiques indépendamment du contexte géographique.

Recommandations

  • Détecter la tâche planifiée malveillante : surveiller la création de tâches planifiées nommées "OneDrive Update" déclenchées à une fréquence d'une minute, en particulier depuis des processus non-Microsoft.
  • Monitorer les accès raw disk : alerter sur toute tentative d'écriture directe sur les disques physiques en dehors des opérations de maintenance connues.
  • Appliquer les IOC Microsoft : intégrer les indicateurs de compromission publiés dans le Security Blog de Microsoft du 9 juillet 2026 dans vos outils SIEM et EDR.
  • Surveiller les processus VNC non autorisés : toute session VNC ouverte par un processus non référencé dans votre baseline doit déclencher une alerte immédiate.
  • Renforcer la politique de sauvegarde : compte tenu du wiper de bas niveau, seules des sauvegardes hors-ligne ou sur support immuable (immutable backups) permettent une récupération fiable après une attaque GigaWiper.

Alerte critique

GigaWiper combine espionnage et destruction sur commande. Sa charge "faux ransomware" chiffre les fichiers avec des clés non sauvegardées — aucun paiement de rançon ne permettra la récupération. Ses sauvegardes doivent être hors-ligne ou immuables pour être exploitables après une attaque. L'imitation d'OneDrive pour la persistance contourne les contrôles basés sur la réputation des éditeurs.

Comment distinguer une attaque GigaWiper d'un ransomware classique lors de la réponse à incident ?

Le signal clé est l'impossibilité de récupération même avec la clé de déchiffrement. Dans un ransomware classique, le paiement donne accès à un déchiffreur fonctionnel car les clés sont conservées par l'opérateur. Dans une attaque GigaWiper avec le module "faux ransomware", les clés de chiffrement sont générées localement et jamais transmises — aucun déchiffreur n'existe. Si la demande de rançon est présente mais que le canal de communication C2 est inexistant ou ne répond pas à l'ouverture d'une négociation, soupçonnez une charge destructive plutôt qu'une tentative d'extorsion. Dans ce cas, basculez immédiatement vers un scénario de restauration depuis sauvegarde plutôt que de gestion de rançon.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit