XDigo : une campagne de cyberespionnage exploitant une faille zero-day Windows

Contexte et cibles

Les chercheurs de HarfangLab et Trend Micro ont identifié une campagne de cyberespionnage en cours menée par le groupe baptisé XDSpy, visant principalement des institutions gouvernementales et des organisations officielles en Europe de l’Est, notamment en Biélorussie et en Russie thehackacademy.com+11securityonline.info+11harfanglab.io+11. Cette campagne exploite une vulnérabilité zero‑day dans la gestion des fichiers raccourcis Windows (.lnk), référencée ZDI‑CAN‑25373, découverte dès mars 2025 harfanglab.io+10gbhackers.com+10cybersecuritynews.com+10.

Description de la vulnérabilité

La faille réside dans la manière dont Windows Explorer affiche les chemins d’accès et les arguments de ligne de commande d’un fichier .lnk. En insérant un grand nombre d’espaces ou de caractères de contrôle invisibles dans le champ « Cible », les attaquants parviennent à dissimuler les commandes malveillantes au-delà de la limite visible (78 espaces dans une chaîne de 259 caractères), tout en laissant le système exécuter ce qui est caché thehackacademy.com+2undercodenews.com+2cyberpress.org+2. Cette technique permet une dissimulation efficace, sans signalement à l’utilisateur ou aux outils de sécurité hendryadrian.com+11cyberpress.org+11undercodenews.com+11.

Chaîne d’infection multi‑étapes

1. Phase initiale : l’attaque débute par des e‑mails de spear phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank contenant une archive ZIP (noms en russe tels que dokazatelstva.zip ou proyekt.zip) avec un fichier .lnk piégé thehackacademy.com+9securityonline.info+9gbhackers.com+9.

2. Exécution du LNK : en ouvrant le raccourci, un exécutable Microsoft légitime est lancé. Celui‑ci sideload une DLL malveillante (.NET) connue sous le nom ETDownloader (souvent nommée d3d9.dll) linkedin.com+8gbhackers.com+8undercodenews.com+8.

3. Implantation : ETDownloader assure la persistance (installation d’un fichier au démarrage), affiche un faux document pour masquer l’attaque, puis télécharge un implant nommé XDigo, développé en Go, depuis un serveur de commande et contrôle securityonline.info+9gbhackers.com+9cybermaterial.com+9.

4. Collecte et exfiltration des données : XDigo réalise des analyses de fichiers (documents Office, PDF, archives), capture le contenu du presse‑papiers et des captures d’écran, et accepte des commandes d’opérateurs. Les données sont chiffrées (AES‑256‑GCM) puis exfiltrées via HTTPS vers des serveurs tels que quan‑miami[.]com cybermaterial.com+5securityonline.info+5gbhackers.com+5.

Évolution technique et furtivité

La sophistication de cette campagne réside dans :

• Le contournement des analyses classiques et des outils forensiques tiers, grâce à des implémentations propriétaires du format LNK dans Windows securityonline.infothehackernews.com+11harfanglab.io+11securityonline.info+11.

• L’emploi de domaines hésitant entre suffixes russophones pour la distribution (vashazagruzka365[.]com) et anglo-saxons pour les C2, facilitant l’évasion et la rotation rapide d’infrastructure hendryadrian.com+4gbhackers.com+4undercodenews.com+4.

• L’utilisation d’un implant XDigo aux capacités avancées d’anti-analyse (vérifications sandbox, communication sécurisée RSA/OAEP, gestion chiffrée des exfiltrations, acceptation de commandes signées) undercodenews.com.

• Une chaîne d’infection en couches, mêlant spear phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank, sideloading, exécutions camouflées et collecte d’informations stratégiques, avec une cible répétée sur des institutions gouvernementales .

Indicateurs de compromission (IOCs)

• Archives ZIP : hashFonction cryptographique transformant des données en empreinte unique. Utilisation de SHA-256 pour mots de passe. OWASP a28ee84b…bd869 (dokazatelstva.zip) hendryadrian.com+3gbhackers.com+3cyberpress.org+3

• Fichiers LNK : ex. 0b705938…cf9c3 ou 65209053…d2ec (.lnk piégé) linkedin.com+6gbhackers.com+6cyberpress.org+6

• DLL ETDownloader : 792c5a26…7b62b (d3d9.dll) securityonline.info+6gbhackers.com+6cyberpress.org+6

• Implant XDigo : 0d983f5…0f7e (vwjqrvdy.exe) linkedin.com+8gbhackers.com+8hendryadrian.com+8

• Serveurs C2 : quan‑miami[.]com, pdf‑bazaar[.]com, vashazagruzka365[.]com hendryadrian.com+4gbhackers.com+4cyberpress.org+4

Recommandations de défense

Afin de contrer cette menace avancée, les organisations doivent :

1. Bloquer ou analyser les fichiers .lnk dans les pièces jointes ou sur le web à l’aide de sandboxing profond.

2. Restreindre les scripts et exécutions automatiques, notamment PowerShell et sideloading via DLL.

3. Surveiller les fichiers decoy — closers vendus comme documents PDF ou ZIP — et repérer les comportements anormaux (décompression suivie d’exécution).

4. Filtrer les connexions réseau vers les domaines identifiés (quan‑miami[.]com, etc.).

5. Sensibiliser les collaborateurs aux attaques complexes menées par spear phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank, même sur des documents qui semblent légitimes.

6. Activer la journalisation et l’analyse comportementale des processus systèmes, notamment les sideloads et scans de documents sensibles.

7. Maintenir à jour les systèmes Windows et surveiller les éventuels correctifs pour la faille ZDI‑CAN‑25373.

Conclusion

La campagne actuelle dirigée par XDSpy illustre une évolution alarmante des techniques de cyberespionnage : elle exploite une vulnérabilité zero-day subtile dans l’affichage des fichiers .lnk pour lancer une attaque en plusieurs étapes. L’implant XDigo offre une collecte d’informations très poussée, illustrant l’expertise technique et l’opérationnalisation mature de ce groupe. Proactivité, vigilance et défense multicouche sont désormais impératives pour les organisations exposées à ce type de menace.