2025 – Le groupe de cyberespionnage nord-coréen APT 37, également connu sous les noms de ScarCruft, RedEyes ou Reaper, a élargi son arsenal avec une méthode inédite : des images JPEG modifiées dissimulant du code malveillant. Cette tactique permet l’exécution automatique de charges utiles dès ouverture de l’image, contournant les défenses traditionnelles.
🌐 Nouveau vecteur : JPEG malveillant
L’exploit repose sur la vulnérabilité EPS CVE‑2017‑8291, initialement ciblant Hangul Word Processor, mais adaptée ici pour compromettre des fichiers JPEG.
Lorsque l’utilisateur ouvre l’image, un shellcode est déclenché, entraînant le téléchargement et l’exécution automatique d’un payload intégré dans le fichier Google Cloud+15Cyber Security News+15Cyber Security News+15.
Contexte et capacités techniques de APT 37
Extensions d’attaque classiques
APT 37 est réputé pour l’utilisation de fichiers CHM, HTA, XLL (add-in Excel) ou encore de documents Office/macros pour livrer le backdoor Chinotto ou le RAT RoKRAT Cyber Security News+9anvilogic.com+9zscaler.com+9.
Le code malveillant est souvent exécuté en mémoire, sans laisser de traces sur le disque, grâce à des techniques natives exploitant PowerShell ou des fichiers LNK malicieux Cyber Security News+5gbhackers.com+5Cyber Security News+5.
Campagnes de spear phishing (Ex : Operation ToyBox Story)
APT 37 a lancé une campagne sophistiquée (« Operation ToyBox Story ») basée sur des invitations fictives à des forums académiques, ciblant des activistes et chercheurs sud-coréens Cyber Security News+6Cyber Security News+6Cyber Security News+6.
Les emails contiennent des liens Dropbox vers des archives ZIP incluant un fichier LNK malveillant, déclenchant l’exécution du RAT RoKRAT via PowerShell.
Ce vecteur repose sur le principe du « Living off Trusted Sites » (LoTS), utilisant des services cloud fiables comme Dropbox, pCloud ou Yandex pour héberger les C2 Cyber Security News+14Cyber Security News+14gbhackers.com+14.
Techniques complémentaires : fichiers LNK et HWP
APT 37 diffuse également des fichiers LNK déguisés, distribués via chat de groupe (K‑Messenger etc.), masquant des commandes PowerShell exécutées à la volée Cyber Security News+2gbhackers.com+2Cyber Security News+2.
Des fichiers HWP (format Hancom coréen) contenaient des objets OLE déclenchant des scripts batch et le RAT RoKRAT de manière fileless, sans trace persistante Cyber Security News+2gbhackers.com+2Cyber Security News+2.
Comparatif des vecteurs : JPEG vs. LNK/HWP/CHM
| Vecteur | Mode d’infection | Délégué à quel malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec | Caractéristique principale |
|---|---|---|---|
| JPEG manipulé | Ouvrir l’image déclenche un shellcode | Téléchargement d’un payload | Exploitation via CVE‑2017‑8291, exécution automatique |
| Fichiers LNK | Double‑clic ou ouverture automatique | RoKRAT via script PowerShell | Fileless, lié à Dropbox/Cloud C2, furtivité élevée |
| Documents HWP / CHM / XLL | Ouverture de document | Chinotto ou RoKRAT | Décoyage PDF/HWP, macros ou add‑in, filtre environnement |
Pourquoi cette évolution est préoccupante
Difficulté accrue de détection : les images JPEG sont des formats considérés « sûrs » et rarement inspectés par les antivirusLogiciel de détection et suppression de malwares. ESET protège contre les ransomwares. NIST ou les filtres de sécurité.
Masquage opérationnel : aucune extension suspecte, fichiers légitimes, vecteur inattendu.
Associé à la reconnaissance avancée : APT 37 mène des phases exploratoires (reconnaissance) pour piéger des cibles spécifiques, en recueillant des données sur IP, système, navigateur via spear phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank et web beacons Cyber Security News+4Security Affairs+4Cyber Security News+4gbhackers.com+2Cyber Security News+2Google Cloud+2Cyber Security News+3Cyber Security News+3cyberpress.org+3anvilogic.com+1zscaler.com+1zscaler.com+1anvilogic.com+1Cyber Security News+2Cyber Security News+2Security Aid+2.
Recommandations de défense
Bloquer l’ouverture directe de fichiers JPEG non fiables, surtout ceux reçus par email.
Déployer solutions EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner/NGAV capables d’analyser le comportement en temps réel, même depuis des formats supposément inoffensifs.
Mettre en place des contrôles stricts sur l’usage de services cloud comme Dropbox pour sourcer des fichiers exécutables.
Sensibiliser les utilisateurs à ne pas ouvrir des images ou fichiers provenant de correspondants inconnus ou suspects.
Conclusion
L’ajout d’un vecteur JPEG manipulé à l’arsenal d’APT 37 démontre une évolution notable de leurs techniques d’intrusion. En exploitant des failles longtemps négligées et en diversifiant les formats d’attaque, le groupe rend plus flou le périmètre de ce qui doit être surveillé et bloqué.
Ce type d’approche souligne la nécessité de repenser les défenses face aux menaces persistantes avancées :
ne plus se limiter à inspecter uniquement les formats documentaires classiques,
prioriser l’analyse comportementale,
renforcer l’intelligence contextuelle sur les flux cloud,
et maintenir une veille active sur les vulnérabilités, même anciennes.