Un pirate a détourné la puissance de calcul d’un cybercafé sud-coréen grâce à un malware injecté directement dans la mémoire, contournant toutes les protections classiques.

Dans un incident révélateur des nouvelles techniques d’attaque numérique, un cybercafé sud-coréen a été la cible d’un piratage particulièrement sophistiqué. L’assaillant, loin de se contenter de déposer un simple fichier malveillant, a infiltré directement la mémoire vive des ordinateurs, exploitant des failles comportementales pour dissimuler ses traces. Une cyberattaque qui a non seulement défié les logiciels antivirus, mais qui révèle aussi une nouvelle étape dans l’évolution du minage de cryptomonnaies à des fins frauduleuses.

Une infection furtive et ciblée

L’attaque ne s’est pas appuyée sur une diffusion massive de logiciels malveillants, mais sur une stratégie beaucoup plus ciblée, fondée sur la connaissance approfondie de l’environnement logiciel des cybercafés. L’assaillant a utilisé Gh0st RAT, un cheval de Troie d’accès à distance bien connu, pour prendre le contrôle des systèmes informatiques. Mais plutôt que d’installer l’outil de minage de manière classique, il a injecté un code directement dans la mémoire des processus en cours, une technique souvent qualifiée d’ »injection en mémoire » ou « fileless malware » dans le jargon de la cybersécurité.

Cette méthode repose sur l’identification d’un processus légitime déjà en exécution. Une fois identifié, le logiciel malveillant compare sa structure avec un modèle de référence, puis modifie dynamiquement sa mémoire. L’opération permet d’exécuter du code sans écrire de fichier sur le disque dur, ce qui empêche les antivirus traditionnels de repérer l’intrusion.

« Le fichier exécutable cmd.exe du dossier système a également été remplacé« , a précisé Ekaterina Edemskaya. « Cela permettait au code malveillant de se lancer lors de certaines actions, comme s’il faisait partie du fonctionnement normal du système.« 

L’objectif de l’attaquant était clair : miner des cryptomonnaies en utilisant les ressources matérielles puissantes du cybercafé, conçues pour supporter des jeux vidéo gourmands en performances graphiques. Pour ce faire, il a choisi le mineur T-Rex, un logiciel spécialisé dans l’extraction de cryptomonnaies par GPU, compatible notamment avec les cartes graphiques Nvidia, largement utilisées dans les ordinateurs de gaming.

Ce choix est tout sauf anodin. Le mineur T-Rex est réputé pour sa stabilité, sa compatibilité avec des algorithmes variés, et surtout pour sa capacité à fonctionner discrètement en arrière-plan. Dans un environnement comme celui d’un cybercafé, où la puissance graphique est abondante et les utilisateurs nombreux, les profits potentiels issus du minage peuvent rapidement devenir substantiels.

Les cybercafés représentent une cible idéale pour ce type d’attaque. Le renouvellement fréquent des utilisateurs, l’accès physique limité à la maintenance du système, et la puissance matérielle disponible en font un terrain propice pour des opérations de minage frauduleux, surtout si aucune solution de sécurité avancée n’est en place.

Des antivirus dépassés, des solutions à repenser

L’un des enseignements majeurs de cette attaque est la limite des solutions de cybersécurité traditionnelles face aux menaces modernes. Les antivirus classiques reposent principalement sur l’analyse de fichiers présents sur le disque et l’identification de signatures connues. Or, dans le cas d’une attaque « fileless« , où le code malveillant réside uniquement en mémoire, ces systèmes sont pratiquement aveugles.

« Les antivirus standards échouent souvent dans ce domaine« , a mis en garde Edemskaya. « Les systèmes capables d’analyser le comportement des utilisateurs et des processus en dynamique sont donc particulièrement utiles.« 

Parmi ces solutions figurent les outils d’EDR (Endpoint Detection and Response), capables de détecter des anomalies comportementales, même en l’absence de fichiers suspects. Ces systèmes analysent en temps réel les processus actifs, leur consommation de ressources, les appels système, et peuvent ainsi détecter une activité de minage non déclarée ou une tentative d’injection mémoire.

Le cas du cybercafé sud-coréen montre également la nécessité de former les gestionnaires de systèmes informatiques à reconnaître les signes d’activités anormales. Une élévation soudaine de la consommation GPU, un comportement inhabituel de processus système comme cmd.exe, ou encore des ralentissements globaux peuvent être des indicateurs d’une exploitation malveillante.

Une tendance inquiétante, mais pas isolée

L’injection en mémoire n’est pas une technique nouvelle, mais son application au minage de cryptomonnaies en environnement public et commercial marque une évolution préoccupante. Selon les données de Kaspersky, les attaques liées au cryptojacking (minage frauduleux de cryptomonnaies via des machines tierces) ont augmenté de 40 % au premier trimestre 2024 par rapport à la même période en 2023.

L’un des attraits majeurs de ces attaques réside dans leur rentabilité discrète. Contrairement à un ransomware, qui expose immédiatement l’attaque en bloquant l’accès aux données, le cryptojacking permet à l’attaquant de générer des revenus passifs pendant des semaines, voire des mois, sans éveiller de soupçons.

Le coût énergétique, transféré à l’opérateur du cybercafé, et l’usure prématurée du matériel sont des conséquences directes de cette activité invisible. Dans un contexte de hausse des prix de l’électricité, cette forme de cybercriminalité s’inscrit dans une logique d’exploitation maximale des ressources disponibles.

Enfin, l’attaque souligne aussi une possible industrialisation de la méthode. Le recours à des outils comme Gh0st RAT, largement utilisés dans des campagnes d’espionnage informatique d’État ou d’organisations criminelles, montre que ces attaques ne relèvent plus du simple hobby de pirates isolés, mais d’une stratégie potentiellement automatisée et reproductible.