Kaspersky GReAT révèle GoSerpent, un backdoor Go opérant silencieusement depuis 2021 contre des gouvernements et réseaux diplomatiques d'Asie du Sud-Est, avec une stratégie de dwell time délibéré pour échapper à la détection.
En bref
- Kaspersky GReAT a découvert GoSerpent, un backdoor Go sophistiqué actif depuis au moins 2021 dans les réseaux gouvernementaux d'Asie du Sud-Est.
- La campagne cible des ministères, services de police, bases de données biométriques et réseaux diplomatiques de plusieurs pays de la région.
- Les organisations exposées doivent conduire un threat hunting proactif avec rétention de logs longue durée et surveiller les connexions SOCKS5 sortantes anormales.
Un backdoor furtif actif cinq ans dans l'ombre des gouvernements régionaux
Le 17 juillet 2026, l'équipe GReAT (Global Research & Analysis Team) de Kaspersky a publié l'analyse technique d'un logiciel malveillant jusqu'alors non documenté : GoSerpent. Ce Remote Access Trojan (RAT) écrit en langage Go cible exclusivement des entités gouvernementales et diplomatiques d'Asie du Sud-Est depuis au moins 2021 — soit plus de cinq ans d'activité clandestine avant d'être mis au jour publiquement. La découverte initiale remonte à février 2026, lorsque les chercheurs ont identifié des comportements anormaux sur les systèmes d'information de plusieurs administrations régionales.
L'analyse forensique a rapidement démontré qu'il ne s'agissait pas d'une intrusion récente, mais d'une présence persistante ancrée dans des infrastructures critiques depuis plusieurs années. Selon le rapport de Kaspersky publié sur Securelist, la variante la plus récente du malware a été déployée en 2026, mais les premières traces d'infection remontent au minimum à 2021. Cinq années d'opérations sans qu'une seule alerte publique ne soit émise — un bilan qui illustre les limites des capacités de détection dans des pays ne disposant pas des ressources cyber des grandes puissances.
Le choix du langage Go traduit un niveau de sophistication technique élevé. Populaire auprès des groupes malveillants depuis plusieurs années, Go permet de produire des binaires compilés statiquement, multiplateformes, qui ne dépendent d'aucune librairie dynamique externe. Cette caractéristique complique l'analyse par rétro-ingénierie et rend les empreintes statiques moins fiables pour les solutions antivirus. GoSerpent est conçu pour contacter un serveur de commande et contrôle (C2) externe depuis lequel il reçoit des instructions et déploie des charges utiles secondaires dédiées à la collecte de données sensibles et au vol de credentials.
Les cibles identifiées révèlent la nature stratégique de la campagne : systèmes de gestion des plaintes policières, bases de données biométriques nationales, dossiers judiciaires et criminels, registres hôteliers et locatifs reliés aux systèmes d'identité nationale, et réseaux diplomatiques. L'amplitude des données aspirées — comprenant des informations sur des individus fichés, des données biométriques et des communications diplomatiques — indique un acteur cherchant à constituer des bases de renseignement à long terme plutôt qu'à réaliser un profit financier immédiat. Le profil de victimologie oriente clairement vers une opération d'espionnage étatique.
Ce qui distingue GoSerpent des RAT conventionnels est la stratégie de dwell time délibéré adoptée par ses opérateurs. Après l'implantation initiale du backdoor, les attaquants attendent plusieurs semaines avant de déployer leurs outils d'exfiltration secondaires. Parmi ces outils figurent TmcLoader — un chargeur modulaire permettant d'introduire des charges utiles supplémentaires en fonction de la valeur stratégique de l'hôte compromis —, des proxies SOCKS5 servant à masquer les origines du trafic de commandement et contrôle, et des credential dumpers ciblant les hachages NTLM et les tickets Kerberos pour faciliter les mouvements latéraux.
Cette temporisation calculée est précisément conçue pour dépasser les périodes standard de rétention des logs et échapper aux analyses automatisées des SIEM, qui scrutent généralement des fenêtres temporelles de 30 à 90 jours. Un attaquant qui implante un backdoor puis attend deux mois avant de lancer ses opérations d'exfiltration sait que les événements correspondant à l'intrusion initiale auront été purgés des journaux au moment où l'analyse forensique commencera. C'est une tactique qui met en défaut non seulement les outils, mais aussi les procédures de réponse à incident standard.
L'infrastructure de commandement et contrôle utilise des proxies SOCKS5 pour masquer les origines du trafic réseau, une technique fréquemment observée dans les opérations d'espionnage étatique. Sur la question de l'attribution, Kaspersky identifie des recoupements significatifs avec TetrisPhantom, un groupe qualifié d'"acteur de menace hautement qualifié et bien doté en ressources". TetrisPhantom avait été documenté précédemment pour des attaques ciblant des systèmes à air gap via des clés USB piégées dans la région indo-pacifique. La réutilisation de techniques opérationnelles, d'infrastructures C2 et de choix de victimologie crée un faisceau de présomptions solide, même si Kaspersky maintient que l'attribution définitive reste incertaine.
L'absence de revendication publique, le soin apporté à la discrétion opérationnelle sur cinq années, et le profil des cibles orientent vers un groupe aux intérêts géopolitiques structurés bénéficiant d'un soutien institutionnel. La région Asie du Sud-Est, carrefour entre les sphères d'influence américaine et chinoise, concentre depuis plusieurs années une densité croissante d'opérations cyber-espionnage menées par des acteurs aux motivations variées — renseignement sur les migrations, surveillance de dissidents, collecte d'informations diplomatiques avant des négociations bilatérales.
Cinq enseignements défensifs pour les organisations à risque
La découverte de GoSerpent dépasse le seul théâtre asiatique dans ses implications. Pour les entreprises françaises et européennes opérant dans des pays à risque géopolitique élevé, ou gérant des infrastructures sensibles liées à des identités nationales ou des données diplomatiques, plusieurs enseignements sont directement transposables.
En premier lieu, la technique du dwell time délibéré met en évidence une limitation structurelle des approches défensives basées sur la détection réactive. Si un acteur maintient un profil d'activité suffisamment bas pour ne pas déclencher les seuils d'alerte usuels et attend que les logs pertinents soient effacés avant de lancer ses opérations, les solutions classiques de SIEM ou de SOC peinent à reconstituer la chronologie de l'intrusion. Seules des approches de threat hunting proactif avec des rétentions de logs longue durée — idéalement 12 à 24 mois — et des analyses comportementales longitudinales permettent de détecter ce type d'attaque.
En second lieu, l'utilisation de Go pour le développement de malwares est une tendance que les équipes de défense doivent anticiper avec des signatures comportementales plutôt que purement statiques. Les binaires Go compilés statiquement ne laissent pas les empreintes de librairies dynamiques que les antivirus classiques cherchent. Les règles de détection orientées comportement — exécution de processus depuis des chemins inhabituels, accès à LSASS, connexions réseau vers des proxies SOCKS5 non répertoriés — sont bien plus efficaces que l'analyse des hachages de fichiers.
Troisièmement, les organisations hébergeant des données biométriques ou régaliennes doivent cartographier l'ensemble des flux de données entrants et sortants et mettre en place un monitoring de ces flux avec des alertes sur les volumes anormaux. L'exfiltration de bases biométriques complètes génère inévitablement du trafic réseau inhabituel — mais encore faut-il avoir défini la baseline normale pour détecter les anomalies. Enfin, les IoC publiés par Kaspersky dans son rapport Securelist — hachages de binaires GoSerpent, domaines C2 et règles YARA — constituent une ressource concrète pour les équipes SOC souhaitant adapter leurs règles de détection et les intégrer dans des plateformes de threat intelligence telles que MISP ou OpenCTI.
Ce qu'il faut retenir
- GoSerpent est un RAT Go sophistiqué opérant depuis 2021 en Asie du Sud-Est, ciblant des données régaliennes sensibles — biométrie, diplomatiques, judiciaires — découvert par Kaspersky GReAT et rendu public le 17 juillet 2026.
- La stratégie de dwell time délibéré (implantation puis attente de semaines avant l'exfiltration) contourne les rétentions de logs standards et les analyses SIEM automatisées — une tactique que le threat hunting proactif seul peut contrer.
- Les IoC publiés par Kaspersky (hachages, domaines C2, règles YARA) sont à intégrer immédiatement dans les plateformes de threat intelligence pour détecter d'éventuels recoupements sur les réseaux ciblés.
Comment détecter une infection GoSerpent sur un réseau d'entreprise ?
La détection repose principalement sur le threat hunting proactif : recherchez des connexions SOCKS5 sortantes vers des destinations inconnues, des processus Go compilés statiquement exécutés depuis des chemins atypiques, et des activités de credential dumping (accès à LSASS) survenant des semaines après une anomalie réseau initiale. Kaspersky a publié des indicateurs de compromission dans le cadre de son rapport Securelist — les équipes SOC peuvent les intégrer directement dans leurs règles de détection SIEM et leurs outils de threat intelligence.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Apple Intelligence approuvé en Chine avec Alibaba Qwen après 22 mois d'attente
La Cyberspace Administration of China a approuvé le 15 juillet 2026 Apple Intelligence pour la Chine, alimenté par Qwen d'Alibaba. Vingt-deux mois de procédure réglementaire aboutissent à un modèle de coexistence imposé entre Big Tech occidental et écosystème IA chinois.
DMA : l'UE force Google à ouvrir Android aux assistants IA rivaux de Gemini
La Commission européenne a ordonné le 16 juillet 2026 à Google d'ouvrir onze fonctionnalités système Android aux assistants IA rivaux de Gemini et de partager ses données de recherche avec OpenAI dès janvier 2027, avec une deadline Android 18 fixée au 1er août 2027.
LegacyHive : le zero-day Windows après Patch Tuesday
Le chercheur Chaotic Eclipse a publié LegacyHive, un proof-of-concept ciblant le Windows User Profile Service, quelques heures après le Patch Tuesday de juillet 2026. La faille fonctionne sur toutes les versions Windows supportées, même après les correctifs appliqués.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire