En bref

  • Le CERT-UA a détaillé le 16 avril une campagne attribuée au cluster UAC-0247 ciblant cliniques municipales, hôpitaux d'urgence et institutions gouvernementales ukrainiennes entre mars et avril 2026.
  • Les attaquants exfiltrent les identifiants des navigateurs Chromium via l'outil CHROMELEVATOR et les données WhatsApp via ZAPIXDESK, après hameçonnage d'aide humanitaire.
  • L'origine du groupe reste inconnue, mais le mode opératoire combine site légitime piégé via XSS, sites factices générés par IA et mineurs cachés dans WireGuard.

Ce qui s'est passé

L'équipe nationale de réponse aux incidents informatiques d'Ukraine (CERT-UA) a publié le 16 avril 2026 un rapport sur la campagne UAC-0247, observée entre mars et avril contre des cliniques, hôpitaux d'urgence et collectivités du pays. Le point d'entrée est un courriel se présentant comme une proposition d'aide humanitaire, qui pousse la cible à cliquer sur un lien menant soit à un site légitime piégé via une vulnérabilité de cross-site scripting, soit à un site factice fabriqué à l'aide d'outils d'IA générative.

Une fois la machine compromise, les attaquants déploient deux outils dédiés. CHROMELEVATOR vise l'extraction des identifiants stockés dans les navigateurs Chromium, tandis que ZAPIXDESK siphonne les données de WhatsApp Desktop. La reconnaissance interne s'appuie sur des scripts maison et des outils publics comme RUSTSCAN, et le mouvement latéral utilise les tunnels LIGOLO-NG et CHISEL pour rester discret. Dans au moins un incident, le mineur de cryptomonnaie XMRIG a été embarqué dans une version modifiée de l'application légitime WireGuard.

Selon The Hacker News et Security Affairs, le CERT-UA relie aussi cette activité à un précédent volet en mars contre des opérateurs de drones FPV du secteur de la défense ukrainienne, distribuant via la messagerie Signal une mise à jour piégée d'un logiciel utilisé par ces équipes.

Pourquoi c'est important

Cibler simultanément des hôpitaux et l'appareil d'État ukrainien combine pression humanitaire et collecte de renseignement. Les outils dédiés CHROMELEVATOR et ZAPIXDESK montrent que les attaquants industrialisent désormais l'extraction de cookies, sessions et conversations chiffrées de bout en bout, en passant par le poste de travail plutôt qu'en cassant le chiffrement. Pour les hôpitaux européens, le mode opératoire est directement transposable : un courriel humanitaire crédible, un site légitime piégé et un navigateur qui devient le point d'entrée vers tout l'écosystème métier.

Ce qu'il faut retenir

  • UAC-0247 abuse d'une thématique d'aide humanitaire pour piéger personnels hospitaliers et agents publics ukrainiens.
  • CHROMELEVATOR (navigateurs) et ZAPIXDESK (WhatsApp) ciblent les données les plus sensibles du poste de travail.
  • À court terme : durcir la politique de mots de passe stockés dans Chromium, restreindre WhatsApp Desktop et bloquer les tunnels sortants type LIGOLO-NG/CHISEL.

Comment détecter CHROMELEVATOR sur un poste compromis ?

L'outil tente d'accéder aux fichiers Login Data et Cookies des profils Chromium et de déchiffrer la clé maître via DPAPI. Surveillez les processus inhabituels qui lisent ces fichiers, les sorties réseau vers des domaines récemment enregistrés et les connexions sortantes vers des tunnels LIGOLO-NG ou CHISEL en TCP non standard.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact