Symantec identifie GodDamn, troisieme ransomware du groupe Hyadina, qui integre le driver malveillant signe PoisonX pour neutraliser les EDR au niveau du noyau Windows via BYOVD, ciblant les entreprises americaines.
En bref
- Symantec identifie GodDamn, troisième ransomware du groupe Hyadina, qui utilise le driver malveillant signé PoisonX pour aveugler les EDR au niveau du noyau Windows via la technique BYOVD.
- Le groupe cible principalement les organisations américaines des secteurs santé, industrie manufacturière et éducation, avec des outils légitimes détournés comme AnyDesk et PsExec.
- La présence d'une signature Microsoft valide sur PoisonX exige des défenses en profondeur au-delà des simples listes noires de drivers, notamment Windows Defender Application Control avec liste blanche stricte.
GodDamn : le driver signé PoisonX élève le BYOVD à un nouveau niveau de menace
Le groupe cybercriminel Hyadina est actif depuis mars 2022. Spécialisé dans les opérations de ransomware-as-a-service (RaaS), il a successivement commercialisé deux versions de son logiciel malveillant : Monster d'abord, puis Beast à partir de juin 2024. Le 21 mai 2026, une troisième itération est apparue dans la nature : GodDamn. C'est l'équipe Threat Hunter de Symantec qui en a publié l'analyse détaillée le 9 juillet 2026, après avoir examiné une attaque conduite en juin 2026 contre une organisation américaine du secteur industriel.
Ce qui distingue fondamentalement GodDamn de ses prédécesseurs est l'intégration du driver malveillant PoisonX, un composant de désactivation des défenses opérant au niveau du noyau Windows. La technique employée s'apparente au BYOVD — Bring Your Own Vulnerable Driver — mais avec une variante critique : PoisonX n'est pas un driver légitime vulnérable exploité par les attaquants, c'est un driver offensif conçu spécifiquement pour aveugler les outils de sécurité, qui a néanmoins obtenu une signature valide via le Microsoft Hardware Developer Program. Cette différence change radicalement le profil de risque par rapport aux attaques BYOVD classiques.
PoisonX avait été documenté pour la première fois au début de l'année 2026, lors d'une campagne distincte où il avait été utilisé pour éliminer le service CrowdStrike Falcon via une commande envoyée à son interface cachée. Son intégration dans un kit ransomware représente une escalade significative dans la disponibilité de cet outil offensif. Un driver exécuté au niveau du noyau Windows bénéficie de privilèges système maximaux : il peut terminer les processus de sécurité, retirer les permissions nécessaires au fonctionnement des outils de détection, ou manipuler les notifications d'événements du noyau afin que les produits de sécurité cessent de recevoir des alertes. L'EDR continue de s'exécuter et reste visible dans le gestionnaire de tâches, mais il est aveugle à tout ce qui se passe réellement sur la machine.
Dans l'attaque analysée par Symantec, l'accès initial a été obtenu via des outils de gestion à distance légitimes, notamment AnyDesk. Les attaquants ont ensuite déployé un binaire malveillant délibérément nommé symantec.exe — une tentative évidente de se fondre dans la liste des processus légitimes liés aux produits Symantec — qui contenait le driver PoisonX sous le nom de fichier g11.sys. Une fois PoisonX chargé et les défenses neutralisées, le déplacement latéral a été réalisé avec PsExec, l'outil de télégestion Microsoft omniprésent dans les boîtes à outils des administrateurs système comme des opérateurs de ransomware.
Le vol d'identifiants a combiné deux approches complémentaires. Mimikatz, l'outil de référence pour l'extraction de mots de passe depuis la mémoire de processus Windows, a été utilisé pour récupérer les credentials des comptes du domaine. Les chercheurs ont également identifié l'usage d'utilitaires NirSoft, une suite d'outils légaux de récupération de mots de passe stockés dans les navigateurs et applications Windows. Cette combinaison d'outils légitimes — AnyDesk, PsExec, Mimikatz, NirSoft — est caractéristique des opérateurs RaaS modernes qui cherchent à minimiser leur empreinte en s'appuyant sur des binaires connus, selon la technique dite « living off the land ».
La question de la signature de PoisonX constitue le point le plus préoccupant de cette divulgation. Les systèmes Windows avec UEFI Secure Boot activent par défaut le refus des drivers non signés en mode noyau. L'obtention d'une signature Microsoft valide pour un driver malveillant peut résulter de plusieurs scénarios : une défaillance dans le processus de vérification automatisée du Hardware Developer Program, l'usurpation d'identité d'un développeur légitime enregistré, ou l'exploitation d'une vulnérabilité dans le pipeline de certification. Microsoft n'avait pas encore répondu publiquement aux questions des chercheurs sur ce point au moment de la publication. La révocation du certificat constituerait la réponse immédiate la plus directe, mais les organisations ayant désactivé les mises à jour automatiques des politiques de blocage — configuration courante dans les environnements industriels — resteraient exposées même après révocation.
L'évolution de Hyadina illustre un modèle de développement itératif caractéristique des groupes RaaS matures. Chaque nouvelle version intègre des améliorations ciblant l'augmentation du taux de succès des attaques : Monster a établi la base opérationnelle, Beast a affiné les techniques d'accès initial, et GodDamn ajoute la couche d'évasion défensive la plus sophistiquée à ce jour. Selon les chercheurs de Symantec, « l'utilisation par GodDamn du composant driver malveillant PoisonX représente une escalade dans les capacités d'évasion défensive de ce groupe, indiquant que Hyadina continue de développer activement son ransomware et ses capacités ».
Les secteurs cibles — santé, industrie manufacturière, éducation — sont caractérisés par leur dépendance à des systèmes opérationnels critiques dont l'interruption génère une pression maximale pour payer la rançon rapidement. Les hôpitaux sont particulièrement vulnérables : l'indisponibilité des systèmes de gestion des patients et des équipements médicaux connectés peut avoir des conséquences directes sur la sécurité des patients. Les acteurs RaaS sélectionnent délibérément ces cibles pour maximiser leur levier de négociation.
PoisonX redéfinit le plancher de sécurité attendu des solutions EDR
L'intégration de PoisonX dans GodDamn met en évidence une lacune structurelle dans la stratégie défensive de nombreuses organisations : la dépendance excessive à un EDR unique comme couche de détection principale. Si cet EDR peut être rendu aveugle avant le déclenchement du chiffrement, la fenêtre de détection et de réponse — déjà mesurée en minutes dans les attaques ransomware modernes — se réduit à néant. Des organisations ayant investi dans des solutions EDR de premier rang (CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne) peuvent se retrouver dans la même situation qu'une organisation sans protection si un driver comme PoisonX est chargé avec succès avant l'exécution du ransomware.
La technique BYOVD avec driver malveillant signé est structurellement plus difficile à contrer que la variante classique. Les politiques de blocage basées sur des listes noires de drivers vulnérables connus — comme la HVCI policy de Microsoft ou les driver blocklists des EDR — ne couvrent pas un driver inconnu ayant obtenu une signature légitime. Cette lacune renforce l'argument pour une approche de liste blanche stricte : Windows Defender Application Control (WDAC) configuré pour n'autoriser que les drivers figurant sur une liste blanche explicite, indépendamment de leur signature, constitue la défense la plus robuste. Cette approche est particulièrement adaptée aux postes d'administrateurs et aux serveurs critiques.
Au-delà de WDAC, les équipes SOC doivent renforcer leur surveillance comportementale autour du chargement de drivers en mode noyau. L'EventID 7045 dans les journaux System Windows enregistre l'installation de nouveaux services, y compris les drivers. Une alerte SIEM sur le chargement d'un driver non répertorié dans la baseline habituelle, particulièrement suivi d'une élévation massive de privilèges, permet de détecter l'activité BYOVD dans la fenêtre précédant le chiffrement. L'intégration de feeds de renseignement sur les menaces incluant les hash de PoisonX et de ses variantes connues permet également de bloquer le chargement dès la tentative initiale.
Pour les RSSI, cette actualité renforce le besoin d'une défense en profondeur authentique : segmentation réseau pour limiter le déplacement latéral, restrictions d'accès aux outils RMM légitimes comme AnyDesk aux seuls comptes administrateurs nécessaires, et plans de réponse à incident couvrant spécifiquement le scénario de neutralisation de l'EDR. La résilience face à des groupes comme Hyadina repose sur la capacité à détecter et répondre même quand les outils de détection principaux sont compromis.
Ce qu'il faut retenir
- PoisonX est un driver malveillant signé par Microsoft qui opère au niveau du noyau Windows — les EDR seuls ne suffisent plus comme couche de protection principale face à cette menace.
- Configurer des alertes SIEM haute priorité sur l'EventID 7045 (chargement de driver) et l'EventID 4697 (installation de service) pour détecter l'activité BYOVD avant le chiffrement.
- Déployer Windows Defender Application Control (WDAC) avec une politique de liste blanche stricte sur les drivers autorisés, et restreindre l'accès aux outils RMM aux seuls comptes administrateurs nécessaires.
Comment vérifier si PoisonX ou un driver similaire a été chargé sur un système Windows ?
La commande PowerShell Get-WinEvent -LogName System | Where-Object Id -eq 7045 liste les drivers récemment installés. L'outil Autoruns de Sysinternals, onglet Drivers, signale les drivers signés par des éditeurs inconnus de votre baseline. Cherchez spécifiquement g11.sys ou tout driver chargé depuis un répertoire temporaire. En environnement SOC, les règles Sigma ciblant les combinaisons « nouveau driver + terminaison de processus de sécurité dans les minutes suivantes » constituent les détections les plus efficaces.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Unit 42 expose le detournement silencieux de vos logs cloud
Unit 42 publie une recherche sur le bucket hijacking, une technique d'exfiltration silencieuse exploitant les namespaces globaux pour detourner les logs d'AWS S3, Google Cloud Storage et Azure sans alerte.
GhostApproval compromet six assistants IA via des symlinks
Wiz revele GhostApproval, une technique exploitant les symlinks Unix pour compromettre les machines des developpeurs via six assistants IA de codage dont Cursor (CVE-2026-50549, CVSS 9,8), Amazon Q et Claude Code.
JetBrains : bypass auth CVSS 9.8 sur Hub et YouTrack, chaîne RCE vers TeamCity et IntelliJ
Chaîne de vulnérabilités critique dans l'écosystème JetBrains on-premise : bypass auth CVSS 9.8 sur Hub/YouTrack (CVE-2026-56141) combiné à des RCE sur TeamCity et IntelliJ, compromettant l'intégralité des pipelines CI/CD.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire