Payload : le ransomware ChaCha20 qui ravage Windows et ESXi

Un nouveau prédateur dans l'écosystème ransomware mondial

Depuis son apparition en février 2026, le groupe de ransomware Payload a accumulé les victimes à un rythme alarmant, revendiquant 12 entreprises touchées dans 7 pays dès les premières heures du lancement de son site de fuite. À la fin du mois de mars, le compteur dépassait 50 victimes, couvrant des secteurs aussi variés que l'immobilier, la logistique, la fabrication industrielle et les prestataires technologiques. Cette diversité sectorielle n'est pas le fruit du hasard : elle reflète une stratégie d'opportunisme guidée par la vulnérabilité perçue des cibles plutôt que par une spécialisation verticale, ce qui rend la menace Payload pertinente pour un spectre très large d'organisations.

Sur le plan technique, Payload se distingue par la sophistication de son architecture cryptographique. Là où de nombreux groupes ransomware de première génération s'appuyaient sur RSA pour l'échange de clés et AES pour le chiffrement des fichiers, Payload a opté pour une combinaison plus moderne et plus résistante : l'échange de clés Diffie-Hellman sur courbe elliptique Curve25519, associé au chiffrement par flux ChaCha20. Cette architecture génère une clé de chiffrement unique par fichier chiffré, ce qui signifie que même une récupération partielle de la clé maîtresse ne permettrait pas de déchiffrer l'ensemble du corpus de fichiers affectés. ChaCha20, développé par le cryptographe Daniel Bernstein, est un algorithme réputé pour sa vitesse et sa sécurité, adopté dans des protocoles industriels comme TLS 1.3 et WireGuard. Son usage dans un ransomware témoigne d'une maîtrise cryptographique qui dépasse celle de nombreux acteurs criminels de moindre envergure.

Les origines du code de Payload remontent au leak du code source de Babuk, survenu en septembre 2021 sur des forums cybercriminels. Ce leak avait déclenché une véritable onde de choc dans l'écosystème ransomware, engendrant plusieurs dizaines de groupes descendants — parmi lesquels Rorschach, RTM Locker et ESXiArgs — qui ont hérité d'une base de code opérationnelle tout en y apportant leurs propres modifications. Payload s'inscrit dans cette lignée, mais avec une différenciation notable : le remplacement du schéma cryptographique originel de Babuk par l'architecture Curve25519/ChaCha20, et l'ajout d'un module dédié au ciblage des environnements VMware ESXi.

Avant de procéder au chiffrement proprement dit, le ransomware exécute une séquence de préparatifs destinée à maximiser son impact et à compliquer toute réponse à incident. En premier lieu, il supprime les Volume Shadow Copies (VSS) de Windows, les sauvegardes instantanées natives qui permettent ordinairement une restauration rapide. Ensuite, il patche en mémoire les fonctions d'Event Tracing for Windows (ETW), un mécanisme utilisé par les solutions EDR pour observer les comportements applicatifs en temps réel : en désactivant ce mécanisme, Payload réduit significativement sa visibilité auprès des outils de détection. Le ransomware efface également les journaux d'événements Windows, compromettant la capacité des équipes de réponse à incident à reconstituer la chronologie d'attaque. Enfin, il termine les processus associés aux bases de données, aux logiciels de sauvegarde et aux applications bureautiques afin d'assurer la disponibilité maximale des fichiers pour le chiffrement.

La version ESXi du ransomware cible directement les fichiers de machines virtuelles dans les formats VMware propriétaires : .vmdk (disques virtuels), .vmx (configurations), .vmem (snapshots mémoire). Un serveur ESXi peut héberger des dizaines de machines virtuelles représentant l'intégralité de l'infrastructure applicative d'une entreprise — serveurs de messagerie, ERP, bases de données, applications métiers. La compromission d'un seul hyperviseur peut donc paralyser simultanément l'ensemble de l'infrastructure IT d'une organisation, faisant de cette cible l'équivalent d'un coup de massue numérique à fort levier.

Les investigations initiales réalisées par les chercheurs de CyberSecurity News et Rapid7 suggèrent que les vecteurs d'intrusion initiaux utilisés par Payload sont classiques mais efficaces : exploitation de VPN sans patch récent, phishing ciblé pour capturer des identifiants d'administration, et exploitation de services RDP exposés directement sur Internet. Ces vecteurs sont délibérément communs, car ils permettent à un groupe de maintenir un volume élevé d'attaques sans nécessiter de vulnérabilités zero-day coûteuses. La majorité des incidents auraient pu être évités par l'application rigoureuse de patches et la désactivation des accès RDP directs depuis Internet.

Le modèle opérationnel de Payload est celui de la double extorsion, désormais standard dans l'industrie du ransomware : les données sont exfiltrées avant le chiffrement, et le groupe menace de les publier sur son site de fuite si la rançon n'est pas payée dans le délai imparti. Ce mécanisme crée une double pression : non seulement l'organisation doit restaurer ses systèmes (pression opérationnelle), mais elle doit également gérer le risque de divulgation de données sensibles (pression réglementaire et réputationnelle). Dans les secteurs soumis à des obligations de confidentialité strictes — santé, finance, défense — cette double menace est particulièrement dévastatrice.

L'attribution formelle de Payload à un acteur spécifique n'a pas encore été établie publiquement par les principales agences de cybersécurité. Le niveau de sophistication technique et la rapidité d'expansion du groupe suggèrent néanmoins une équipe expérimentée, potentiellement constituée d'anciens membres d'opérations de ransomware démantelées comme LockBit ou ALPHV/BlackCat. Les autorités internationales suivent de près l'évolution du groupe, comme en attestent les mentions dans les rapports trimestriels publiés par Check Point Research et Breachsense.

L'héritage Babuk et la montée des ransomwares cross-platform

L'émergence de Payload illustre une tendance de fond documentée depuis le leak du code Babuk en 2021 : la démocratisation des capacités ransomware avancées via les fuites de code source. Ce phénomène a radicalement abaissé les barrières à l'entrée pour les nouveaux acteurs criminels, qui peuvent désormais déployer un ransomware techniquement sophistiqué sans disposer des compétences de développement cryptographique nécessaires à sa création from scratch. L'impact cumulé de cette démocratisation est mesurable : en 2021, on dénombrait une trentaine de groupes ransomware actifs ; à la fin du premier trimestre 2026, ce chiffre dépasse 65 groupes distincts selon les données de Breachsense.

La sophistication cryptographique particulière de Payload — Curve25519 et ChaCha20 — mérite une attention spécifique du point de vue défensif. Ces algorithmes sont reconnus comme state-of-the-art par la communauté cryptographique et ne présentent aucune faiblesse connue exploitable. En pratique, cela signifie qu'en l'absence de sauvegardes intègres et isolées, il n'existe aucune voie de déchiffrement alternative : pas de faiblesse dans l'implémentation, pas de clé de déchiffrement universelle, pas d'outil de récupération tiers. Le paiement de la rançon reste alors la seule option de restauration — une situation que l'ANSSI, le FBI et Europol déconseillent unanimement mais qui est régulièrement envisagée lorsque l'impact opérationnel est critique.

Le ciblage simultané de Windows et d'ESXi représente une évolution stratégique significative par rapport aux ransomwares de première génération. Depuis les campagnes ESXiArgs de 2022 et 2023, les hyperviseurs VMware sont devenus une cible prioritaire pour les opérateurs de ransomware cherchant à maximiser leur impact en un minimum d'opérations. Dans de nombreuses PME et ETI, un seul serveur ESXi non protégé peut suffire à paralyser l'intégralité de l'infrastructure IT. Les solutions de sécurité traditionnelles conçues pour les endpoints Windows ne couvrent généralement pas les hyperviseurs ESXi, créant un angle mort de sécurité que Payload exploite méthodiquement.

Face à cette menace, les recommandations de défense s'articulent autour de plusieurs axes complémentaires. La règle 3-2-1 pour les sauvegardes (3 copies, 2 supports différents, 1 hors site) doit être appliquée avec une attention particulière à l'isolation : les sauvegardes doivent être inaccessibles depuis les réseaux de production, idéalement dans des coffres-forts immuables (immutable backups). La surveillance comportementale via des solutions EDR capables de détecter les opérations de suppression de shadow copies, les modifications de journaux d'événements et les appels de patch ETW est essentielle. Les hyperviseurs ESXi doivent faire l'objet d'une surveillance dédiée et d'une segmentation réseau stricte. Enfin, la mise à jour régulière des VPN, serveurs RDP et points d'accès distants est fondamentale pour éliminer les vecteurs d'intrusion initiaux les plus fréquemment exploités.

Ce qu'il faut retenir

• Payload est un ransomware émergent utilisant ChaCha20/Curve25519 pour un chiffrement inviolable, ciblant à la fois Windows et ESXi avec plus de 50 victimes mondiales en 4 mois.
• Avant de chiffrer, il neutralise les shadow copies, contourne l'ETW et efface les journaux — rendant la détection et la restauration sans sauvegardes offline quasi impossibles.
• Sauvegardes immuables hors ligne, EDR comportemental et isolation des hyperviseurs ESXi sont les trois piliers de défense prioritaires contre cette menace.