CYFIRMA a publié un rapport détaillé sur le malware DuplexSpy RAT, un cheval de Troie d’accès à distance (RAT) sophistiqué ciblant les systèmes Windows. Ce malware est capable de surveillance étendue, de persistance et de contrôle du système, utilisant des techniques d’exécution sans fichier et d’escalade de privilèges pour rester furtif.

Le DuplexSpy RAT se distingue par ses fonctionnalités telles que la capture de clavier, la prise de captures d’écran, l’espionnage via webcam et audio, et l’accès à un shell distant. Il utilise des communications sécurisées grâce au chiffrement AES/RSA et à l’injection de DLL pour l’exécution de charges utiles en mémoire. Bien que publié pour des « fins éducatives » sur GitHub, sa polyvalence et sa facilité de personnalisation le rendent attrayant pour les acteurs malveillants.

Le rapport souligne également les techniques de persistance du malware, notamment par la réplication dans le dossier de démarrage et les modifications du registre Windows. Il est conçu pour imiter des processus légitimes comme « Windows Update » pour éviter la suspicion des utilisateurs. De plus, le malware utilise des modules pour la surveillance audio et vidéo, ainsi que pour la manipulation du système, comme l’arrêt ou le redémarrage à distance.

Ce document est une analyse technique détaillée visant à informer sur les capacités et les dangers potentiels de ce malware, soulignant l’importance de la détection proactive et de la sensibilisation des utilisateurs pour atténuer les risques posés par de tels outils d’accès à distance.

🧠 TTP et IOC détecté

TTP

Execution sans fichier, Escalade de privilèges, Capture de clavier, Prise de captures d’écran, Espionnage via webcam et audio, Accès à un shell distant, Injection de DLL, Persistance par réplication dans le dossier de démarrage, Modifications du registre Windows, Imitation de processus légitimes, Surveillance audio et vidéo, Manipulation du système (arrêt/redémarrage à distance)

🔗 Source originale : https://www.cyfirma.com/research/duplexspy-rat-stealthy-windows-malware-enabling-full-remote-control-and-surveillance/