Une campagne de cyberattaque sophistiquée menée par l’acteur de menace sud-asiatique Bitter, également connu sous le nom d’APT-Q-37, a été révélée. Elle exploite une vulnérabilité zero-day de WinRAR pour déployer des portes dérobées personnalisées en C# destinées au vol de données et à un accès persistant. La campagne utilise deux méthodes principales d’infection : l’utilisation de fichiers Add-In Excel malveillants avec des macros VBA et l’exploitation d’une vulnérabilité de traversée de chemin de WinRAR précédemment inconnue.
Dans la première méthode, un fichier nommé “Nominated Officials for the Conference—xlam” est utilisé pour distribuer le malware. Lorsque les macros sont activées, il crée un fichier contenant du code source C# encodé en Base64, qui est ensuite compilé et installé comme charge utile dans le système. Cette méthode assure la persistance en créant une tâche planifiée qui se connecte à un domaine associé à des activités antérieures de Bitter.
La seconde méthode implique une archive armée qui remplace le modèle par défaut de Word, garantissant l’exécution du malware à chaque lancement de Word. Cette méthode intègre également des macros qui se connectent à un serveur pour récupérer une porte dérobée, indiquant une origine commune avec la première méthode.
La porte dérobée utilisée par le groupe Bitter est très avancée, utilisant des communications HTTP chiffrées pour collecter des informations système et les transmettre à un serveur de commande et de contrôle. Cette infrastructure est liée à un groupe de domaines enregistré en avril 2025, ce qui suggère un raffinement continu de leurs techniques ciblant des secteurs de haute valeur tels que le gouvernement, la défense et l’énergie.
Il est conseillé aux utilisateurs de mettre à jour WinRAR, de désactiver l’exécution des macros et d’éviter d’ouvrir des pièces jointes non sollicitées pour atténuer le risque.
