SoupDealer : un malware Java furtif qui échappe à tous les sandboxes, antivirus et EDR/XDR

Août 2025 – Une campagne sophistiquée de spear phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank menée en Turquie a mis en lumière un malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec inédit, SoupDealer, capable d’échapper aux défenses traditionnelles des SOCCentre opérationnel chargé de la surveillance et de la réaction à incidents. SOC alerte sur un comportement anormal. ANSSI. Cet agent Java conçue comme un chargeur en plusieurs phases est tellement furtif qu’il contourne les sandboxes publiques, les antivirusLogiciel de détection et suppression de malwares. ESET protège contre les ransomwares. NIST, ainsi que les solutions EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner/XDR déployées en entreprise. Cyber Security News

1. Mode opératoire en trois étapes emblématiques

1.1 Déploiement initial ciblé

• La menace est distribuée via une campagne ciblant les utilisateurs turcs — un fichier .jar nommé TEKLIFALINACAKURUNLER.jar initie le processus.

• Le malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec ne s’active que si l’environnement de la victime répond à deux critères : le système est Windows, la langue du système est le turc, et la localisation géographique de l’utilisateur se trouve en Turquie. Cyber Security News

1.2 Décryptage multi-phase en mémoire

• SoupDealer utilise des class loaders Java personnalisés pour déchiffrer et charger ses charges utiles (payloads) entièrement en mémoire, évitant ainsi toute trace sur disque. Cyber Security News

• Le premier payload est un fichier AES-ECB chiffré, nommé d6RuwzOkGZM12DXi. La clé de décryptage, codée en dur, est dérivée via SHA-512 puis tronquée à 16 bytes pour obtenir une clé AES valide. Ce processus produit un fichier stage2.jar. Cyber Security News

• Ensuite, un stub RC4 chiffré, encapsulé dans stage2.jar, est décrypté et chargé avec une méthode findClass personnalisée, toujours en mémoire, sans jamais écrire quoi que ce soit sur le disque. Cyber Security News

1.3 Vérifications anti-sandbox et communication clandestine

• Le malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec vérifie l’absence de produits de sécurité actifs (AV, EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner/XDR) avant de poursuivre. Cyber Security News

• Il installe Tor, établit des tâches de persistance via le Scheduler Windows et la Base de Registre (Run key), puis initie un canal C2 anonyme via Tor, pour télécharger et exécuter le payload final, à savoir le module de backdoor Adwind. Cyber Security News

2. Persistance et furtivité avancée

• Le malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec crée une tâche planifiée Windows avec un nom aléatoire, exécutant quotidiennement le chargeur Java après un délai prédéfini. Cyber Security News

• En parallèle, un script .reg modifie la clé HKCU\Software\Microsoft\Windows\CurrentVersion\Run pour assurer un démarrage persistant et discret. Cyber Security News

• Chaque étape est obfusquée avec du code inutilisé (junk) et du chiffrement de chaînes, évitant toute correspondance avec les signatures statiques des antivirusLogiciel de détection et suppression de malwares. ESET protège contre les ransomwares. NIST. Cyber Security News

3. Pourquoi SoupDealer représente une menace de nouvelle génération

• Exfiltration sans traces visibles : l’intégralité du déploiement se fait en mémoire, contournant les outils d’analyse statique et dynamique.

• Ciblage intelligent : seulement les utilisateurs turcs sous Windows sont visés, diminuant les chances d’analyse en sandbox.

• Évitement des défenses modernes : SoupDealer désactive la sécurité locale avant d’avancer, rendant les EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner/XDR impuissants.

• Accès persistant et clandestin : avec Tor et Adwind, l’attaquant obtient un accès à long terme sans éveiller les soupçons réseau.

4. Tableau récapitulatif – SoupDealer en chiffres

5. Recommandations pour renforcer la défense

1. Surveillance mémoire approfondie
   Implémenter des outils capables d’analyser en temps réel les processus Java et détecter des code-loaders malveillants.

2. Analyse comportementale réseau
   Surveiller les communications sortantes vers Tor, même via localhost proxy, pour détecter les infiltrations.

3. Contrôle renforcé des tâches planifiées
   Détecter les noms aléatoires, scripts .reg suspect et création inhabituelle de tâches.

4. Sandboxes améliorées
   Modifier les environnements d’analyse pour simuler les paramètres localisés (langue turque, géolocalisation) pour déclencher l’exécution dans les tests.

5. Restriction de l’exécution Java non autorisée
   Déployer des politiques restreignant les applications Java, notamment les exécutables .jar non signés ou provenant de sources externes.

Conclusion

SoupDealer représente un tournant dans la menaces avancées : un malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec Java qui, grâce à une architecture internalisée en mémoire, un ciblage linguistique et géographique, l’usage de Tor, et plusieurs couches d’obfuscation, rend les défenses classiques totalement inefficaces. Les équipes de sécurité doivent évoluer vers une approche contextuelle, comportementale et mémoire-native pour rester compétitives face à cette nouvelle génération de malwares.