Le groupe de cyberespionnage XDSpy exploite une vulnérabilité zero-day dans les fichiers LNK de Windows, identifiée sous le nom de ZDI-CAN-25373, pour cibler des entités gouvernementales en Europe de l’Est et en Russie. Active depuis mars 2025, cette campagne sophistiquée utilise un processus d’infection complexe à plusieurs étapes pour déployer l’implant XDigo, développé en Go. Les attaquants profitent d’une faille dans l’implémentation des fichiers LNK par Microsoft pour exécuter des commandes cachées qui échappent à la détection. L’attaque débute par des emails de spearphishing contenant des archives ZIP avec des fichiers LNK spécialement conçus. Une fois exécutés, ces fichiers déclenchent un exécutable Microsoft pour charger une DLL malveillante, établissant ainsi une persistance et récupérant des charges utiles supplémentaires depuis des domaines tels que vashazagruzka365[.]com. XDigo est capable de collecter des données, y compris l’analyse de fichiers et la capture d’écrans, tout en communiquant avec des serveurs de commande et de contrôle. La campagne a principalement visé des entités gouvernementales biélorusses, reflétant l’intérêt historique de XDSpy pour les institutions d’Europe de l’Est. La sophistication technique de cette opération inclut des mesures anti-analyse et une exfiltration de données cryptées, soulignant la nécessité de défenses robustes en cybersécurité.
Les hackers XDSpy exploitent-ils une nouvelle vulnérabilité Windows ?
