Une pièce jointe Excel, déguisée en invitation de Nouvel An, aurait servi d’appât contre des militaires russes. Intezer décrit une campagne discrète, mais révélatrice, portée par le groupe Goffee.
Des chercheurs d’Intezer affirment qu’un groupe d’espionnage peu documenté cible des militaires russes et l’industrie de défense via des leurres en russe. La campagne, repérée en octobre 2025 après la découverte d’un fichier XLL malveillant sur VirusTotal, déclenche automatiquement du code dans Excel. À l’ouverture, le fichier installe une porte dérobée inédite, EchoGather, capable de profiler la machine, exécuter des commandes et transférer des fichiers. Les données partent vers un serveur de commande et contrôle camouflé en site de livraison de nourriture. Les appâts incluent une fausse invitation à un concert réservé à des officiers supérieurs, truffée d’indices de génération artificielle, et une lettre usurpant un adjoint du ministère russe de l’Industrie.
Une entrée par Excel, une sortie par un faux site de livraison
Le point de départ est presque banal : un fichier destiné à être ouvert dans Excel. Le signal apparaît début octobre, quand un fichier XLL est téléversé sur VirusTotal, d’abord depuis l’Ukraine, puis depuis la Russie. Son titre, « enemy’s planned targets« , donne le ton, à la fois martial et calibré pour piquer la curiosité d’un public lié au militaire. L’astuce technique tient au format : un XLL n’est pas une simple feuille de calcul, c’est un add-in capable de lancer du code. Dans ce cas, l’exécution est automatique à l’ouverture, sans passer par la chorégraphie classique des macros qui réclament l’activation.
Une fois déclenché, le fichier télécharge un implant jusqu’alors non documenté, baptisé EchoGather. La description fournie par les chercheurs correspond à une porte dérobée orientée collecte et pilotage : inventaire du système, exécution de commandes à distance, exfiltration de fichiers. Un infostealer. Le volet « renseignement » est ici central, car ces fonctions servent moins à faire tomber un réseau qu’à y rester, y lire, et y prendre ce qui a de la valeur.
Le canal de sortie, lui, joue la dissimulation. Les informations volées sont envoyées vers un serveur de commande et contrôle présenté comme un site de livraison de nourriture. Ce camouflage n’est pas qu’esthétique : il permet de se fondre dans un trafic web ordinaire, en empruntant des apparences rassurantes. Dans des environnements surveillés, l’attaquant ne cherche pas seulement à chiffrer ou à détruire, il cherche surtout à ne pas être remarqué.
Soulignons un contexte plus large : les campagnes visant des organisations russes sont moins souvent documentées par des chercheurs occidentaux, faute de visibilité sur les réseaux russes. Cette rareté donne à la découverte un relief particulier. Elle n’implique pas que l’activité soit exceptionnelle, mais plutôt qu’elle est rarement observée depuis l’extérieur, ce qui laisse davantage de zones grises sur la portée réelle de l’opération.
Invitations de Nouvel An et faux courrier officiel : l’appât avant la collecte
Pour approcher la cible, le groupe mise sur l’ingénierie sociale. Les leurres sont rédigés en russe et cherchent à coller au rythme d’une administration ou d’une structure de défense. L’exemple le plus frappant est une fausse invitation à un concert destiné à des officiers supérieurs, une accroche taillée pour l’ego, la routine protocolaire et l’envie d’accéder à une information « réservée ». Sauf que le document trahit sa fabrication : erreurs linguistiques, et surtout une imitation déformée de l’aigle bicéphale russe, plus proche d’un oiseau générique que du symbole national. Ce détail est précieux : il signale un effort d’imitation, mais aussi une méconnaissance de codes visuels que la cible, elle, identifie au premier coup d’œil.
Un second appât usurpe une lettre émanant d’un adjoint au ministère russe de l’Industrie et du Commerce. Le texte réclame des justificatifs de prix liés à des contrats de défense étatiques. Le choix du thème est cohérent : il vise des entreprises de défense et des acteurs high-tech, exactement les profils que les chercheurs estiment ciblés. La demande de « documents de justification » est aussi une clé psychologique : elle crée une urgence administrative, et légitime l’ouverture de pièces jointes dans un cadre supposé officiel.
Malgré ces éléments, un point demeure opaque : on ne sait pas si la campagne a réellement réussi, ni quelles informations précises étaient recherchées. L’incertitude fait partie de la dynamique du renseignement : l’attaquant collecte large, puis trie, et le défenseur découvre souvent l’intention après coup, quand les traces sont déjà refroidies. (Interzer)
