Bitdefender Labs a dévoilé l’existence d’un groupe APT inédit, baptisé Curly COMrades, opérant en soutien aux intérêts russes. Le groupe cible notamment des organisations gouvernementales et un acteur de l’énergie en Europe de l’Est, par le biais d’une porte dérobée innovante.
Un nouvel acteur de la menace APT
Jamais observé auparavant, Curly COMrades se concentre sur des cibles situées en Europe de l’Est, dans un contexte de tensions géopolitiques accrues. Les victimes incluent des structures gouvernementales et un acteur clé du secteur énergétique.
Une porte dérobée inédite : MucorAgent
Le groupe utilise un malware baptisé MucorAgent, exploitant une technique encore jamais documentée. Il détourne des CLSID (Class Identifiers) pour manipuler NGEN, un composant par défaut du framework .NET de Windows. Il permet ainsi d’établir une persistance furtive pour l’espionnage et l’exfiltration de données.
Une persistance difficile à anticiper
Curly COMrades exploite une tâche planifiée désactivée au sein de NGEN, que Windows réactive de manière sporadique (périodes d’inactivité, déploiements d’applications). Cet accès rétabli à des moments imprévisibles, rend la détection particulièrement complexe.
Bitdefender explique avoir choisi une convention de nom péjorative pour éviter de « glorifier » les cybercriminels. Selon l’éditeur, attribuer des noms trop « cool » contribue parfois à leur notoriété. L’étude complète est disponible ici.
