Août 2025 – Des chercheurs en cybersécurité ont identifié une campagne malveillante sophistiquée orchestrée par un groupe parlant vietnamien, utilisant un malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec dénommé PXA Stealer. Ce logiciel espion, basé en Python, est déployé contre des entités gouvernementales et académiques en Europe et en Asie, dans le but de collecter des données sensibles.
🚨 Objectifs de la campagne
Le PXA Stealer est conçu pour extraire un large éventail d’informations critiques :
Identifiants en ligne (comptes web, VPNTunnel sécurisé entre deux points à travers Internet. Se connecter à distance au SI de l’entreprise. ProtonVPN, FTP)
Données financières et cookies de navigateurs
Informations issues de portefeuilles cryptographiques et de logiciels de jeu Báo Thanh NiênSOCCentre opérationnel chargé de la surveillance et de la réaction à incidents. SOC alerte sur un comportement anormal. ANSSI Prime+11Advisories+11Cisco Talos Blog+11
Extraction des mots de passe principaux du navigateur pour accéder aux données stockées The Hacker Newsmalpedia.caad.fkie.fraunhofer.de
🌐 Attribution à un acteur vietnamien
Les éléments pointant vers une origine vietnamienne incluent :
Des commentaires dans le code en langue vietnamienne
Un compte Telegram codé en dur nommé Lone None, affichant le drapeau du Vietnam et l’emblème du ministère de la Sécurité publique Reddit+2Cisco Talos Blog+2Hoplon InfoSec+2Hoplon InfoSecBáo Thanh Niên+6The Hacker News+6Hoplon InfoSec+6
Présence dans le canal Telegram “Mua Bán Scan MINI”, où sont vendus des comptes Facebook, Zalo, cartes SIM et outils automatisés. Ce canal est lié à l’agent CoralRaider, mais leur relation exacte reste incertaine malpedia.caad.fkie.fraunhofer.de+6Cisco Talos Blog+6The Hacker News+6
🧩 Chaîne d’infection : de la phishing à l’exfiltration
PhishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank via email – ZIP en pièce jointe
Contient un exécutable Rust-based loader
Plusieurs scripts batch obfusqués, ainsi qu’un faux PDF (ex. formulaire Glassdoor) sont inclus Cyclonis+6The Hacker News+6Hoplon InfoSec+6Hoplon InfoSec+1rewterz.com+1
Exécution automatique
Le loader Rust lance les scripts batch
Ouverture du document de leurre, puis exécution de commandes PowerShell pour :
désactiver l’antivirusLogiciel de détection et suppression de malwares. ESET protège contre les ransomwares. NIST
télécharger et déployer le stealer Cyclonis+4SOCCentre opérationnel chargé de la surveillance et de la réaction à incidents. SOC alerte sur un comportement anormal. ANSSI Prime+4The Hacker News+4Cyclonis+5Hoplon InfoSec+5SOCCentre opérationnel chargé de la surveillance et de la réaction à incidents. SOC alerte sur un comportement anormal. ANSSI Prime+5
Actions malveillantes post-déploiement
Terminaison des processus de sécurité, VPNTunnel sécurisé entre deux points à travers Internet. Se connecter à distance au SI de l’entreprise. ProtonVPN, navigateurs ou clients FTP
Déchiffrement du master password du navigateur pour explorer les données stockées Hoplon InfoSecSOCCentre opérationnel chargé de la surveillance et de la réaction à incidents. SOC alerte sur un comportement anormal. ANSSI Prime
Exfiltration via bots Telegram, collecte organisée de données pour revente Advisories
🔍 Capacités techniques de PXA Stealer
Conçu en Python, il est facile à personnaliser et déployer The Hacker News+3blog.polyswarm.io+3Hoplon InfoSec+3
Accès aux cookies Facebook permettant l’authentification via Ads Manager ou l’API Graph pour collecter davantage de données The Hacker News+1Báo Thanh Niên+1
Extraction des données de navigation, cartes bancaires, historiques, profils Chrome/Firefox, gestionnaires de mots de passe CyclonisDaily CyberSecurity
⚠️ Pourquoi cette menace est critique
Cible élevée : organismes publics et établissements éducatifs abritant des données sensibles AdvisoriesDaily CyberSecurity
Techniques avancées d’évasion : scripts obfusqués, faux documents, neutralisation des antivirusLogiciel de détection et suppression de malwares. ESET protège contre les ransomwares. NIST pour éviter la détection précoce
Commercialisation illégale : les informations volées et les outils utilisés sont vendus au sein de réseaux souterrains via Telegram, YouTube et sites spécialisés Cisco Talos BlogSOCCentre opérationnel chargé de la surveillance et de la réaction à incidents. SOC alerte sur un comportement anormal. ANSSI Prime
🛡️ Recommandations pour les défenses
Déployer une solution EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner/NGAV capable d’analyser le comportement des scripts, même via des ZIP ou documents apparemment inoffensifs.
Mettre en place un filtrage rigoureux des emails et pièces jointes compressées, surtout provenant d’expéditeurs non vérifiés.
Sensibiliser les utilisateurs à ne jamais ouvrir des fichiers ZIP ou documents suspects même s’ils semblent légitimes (ex. formulaires PDF, annonces d’emploi).
Superviser et bloquer les communications sortantes vers des bots Telegram inconnus ou des domaines douteux.
Utiliser des règles MITRE ATT&CK® ou Sigma pour détecter les chaînes de commandes atypiques associées à PXA Stealer Hoplon InfoSec+2SOCCentre opérationnel chargé de la surveillance et de la réaction à incidents. SOC alerte sur un comportement anormal. ANSSI Prime+2blog.polyswarm.io+2
🧠 Comparatif synthétique
| Élément | Description |
|---|---|
| Cible principale | Entités gouvernementales et éducatives en Europe et Asie |
| Vecteur d’attaque | PhishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank via ZIP → loader Rust + scripts batch + document Leurre |
| Fonctions malveillantes | Déchiffrement du master password, exfiltration multi-source, cookies FB via Ads API |
| Attribution géographique | Indices linguistiques en vietnamien, canaux Telegram, liens à CoralRaider mais sans lien confirmé |
| Phase d’évasion | Obfuscation du code, désactivation d’AV, livraison masquée via documents apparemment inoffensifs |
✅ Conclusion
La campagne PXA Stealer illustre une approche hautement ciblée, furtive et adaptable, menée par un acteur vietnamophone capable d’exploiter des vulnérabilités humaines (phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank) et techniques (obfuscation, scripts automatisés). Le choix d’un stealer basé sur Python accroît la flexibilité de l’attaque, tandis que le déchiffrement du browser master password multiplie l’impact.
Face à cette menace, les organisations doivent renforcer autant les mesures techniques – EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner, détection comportementale, filtrage des emails – que la sensibilisation des utilisateurs aux vecteurs de phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank de plus en plus sophistiqués.