Un keylogger avancé se cache dans un faux fichier officiel turc. La Turquie, et son industrie de défense, sont visées. Snake frappe sans alerter l’utilisateur.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
Une campagne de phishing ciblé, sophistiquée et discrète, frappe les entreprises turques de l’aérospatiale et de la défense. Déguisé en document Excel légitime de Turkish Aerospace Industries, le fichier malveillant déploie Snake, un keylogger furtif qui échappe à Windows Defender, collecte des données sensibles depuis les navigateurs et les clients mail, et exfiltre le tout via un serveur SMTP frauduleux. La charge secondaire “Remington”, injectée en mémoire, est déployée par l’outil Chiron. La Turquie répond par une signature YARA spécifique et une mobilisation coordonnée de l’équipe USOM. L’incident illustre le niveau de sophistication croissant des outils d’espionnage numérique dans un secteur où chaque frappe peut coûter cher.
Une attaque invisible dans un faux costume officiel
C’est un fichier anodin qui arrive dans une boîte mail. Une pièce jointe au format .xlsx.exe, déguisée en document commercial de Turkish Aerospace Industries. Rien d’alarmant au premier regard. Mais dès son ouverture, le piège se referme. Snake, un keylogger furtif (il intercepte les frappes clavier), s’installe dans le système, modifie les paramètres de sécurité de Windows Defender via PowerShell, et se dissimule dans une tâche planifiée exécutée à chaque démarrage.
Le stratagème repose sur une ingénierie sociale soignée. L’attaque cible uniquement des profils liés à l’industrie turque de la défense et de l’aérospatiale. Chaque message semble personnalisé, chaque expéditeur crédible. Le malware Snake s’installe silencieusement et donne l’impression d’être un utilitaire inoffensif, comme une calculatrice de température. En réalité, c’est un outil d’espionnage de nouvelle génération, chargé en mémoire de manière dynamique, sans laisser de traces classiques sur le disque.
Snake et Remington : un duo d’intrusion redoutable
Une fois en place, Snake commence son travail de collecte. Il cible les navigateurs les plus courants — Chrome, Firefox, Edge, Brave — et siphonne logins, cookies, données de formulaire, historiques, informations de cartes bancaires. Mais il ne s’arrête pas là. Snake explore également les clients de messagerie, déchiffrant les identifiants d’Outlook, Thunderbird ou Fox Mail grâce à l’analyse du registre Windows et des fichiers de stockage locaux.
La deuxième phase de l’attaque est tout aussi discrète. Baptisée Remington, cette charge complémentaire est injectée via l’outil Chiron, souvent utilisé pour encapsuler des fichiers .NET protégés. Elle agit en mémoire, sans être écrite sur le disque, évitant ainsi les antivirus traditionnels. L’ensemble de l’opération repose sur une architecture offensive modulaire, où chaque brique est conçue pour rester invisible.
⏳ Jusqu’où tolérerez-vous d’être piraté ?
CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.
Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.
L’exfiltration des données se fait par SMTP, un choix inhabituel qui permet d’éviter certains pare-feu ou proxies. Le domaine utilisé (htcp.homes) se présente comme anodin, mais les identifiants de connexion au serveur sont intégrés dans le binaire, chiffrés à l’aide de l’algorithme DES. Une méthode ancienne mais suffisante pour dissuader les analyses automatisées.
La Turquie riposte, mais la menace persiste
Face à la menace, les autorités turques réagissent vite. L’équipe nationale USOM (équivalent turc du CERT) coordonne la réponse technique. Une règle YARA est diffusée pour identifier les fichiers .NET contenant les signatures spécifiques à Snake. Cette détection repose sur des caractéristiques uniques : noms de classes, flux d’injection mémoire, chaînes d’encodage base64 internes.
Mais au-delà de la réponse immédiate, c’est la stratégie défensive des secteurs sensibles qui est questionnée. Le niveau de sophistication de cette campagne montre que les attaquants disposent de moyens significatifs, d’un ciblage précis et d’un savoir-faire avancé dans la furtivité. Le fichier malveillant ne visait pas la masse, mais des postes clés, probablement techniques ou décisionnels.
Ce type d’attaque pourrait être une étape d’une opération plus large : infiltration, reconnaissance, préparation d’une compromission durable ou d’un vol massif de données stratégiques. Dans un contexte de tensions régionales et d’accélération de la compétition technologique, chaque fuite peut faire pencher l’équilibre d’un marché ou d’un programme militaire.
L’attaque menée par Snake n’a rien de classique. Elle est chirurgicale, modulaire, silencieuse. Elle témoigne d’une évolution préoccupante des malwares d’espionnage dans les secteurs de haute valeur technologique. Ce que révèle cette campagne, ce n’est pas seulement la vulnérabilité d’une infrastructure, mais celle d’un écosystème humain, où le faux sentiment de légitimité d’un document peut suffire à compromettre un projet entier.
La question reste ouverte : combien de fichiers de ce type circulent actuellement, en sommeil dans les messageries, attendant l’ouverture d’un clic trop confiant ?
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
