Des hackers ciblent les fabricants et entreprises technologiques américaines en exploitant les formulaires de contact sur leurs sites web pour dissimuler des malwares sous forme de faux accords de confidentialité (NDA)[web:1][web:2]. À la différence du phishing classique par email, les attaquants entament d’abord un dialogue via le formulaire « Contactez-nous », rendant la démarche plus crédible et difficile à détecter.

L’échange est maintenu sur une période pouvant aller jusqu’à deux semaines, durant laquelle les hackers se font passer pour des partenaires commerciaux potentiels et finissent par envoyer un “contrat” NDA dans une archive ZIP hébergée sur Heroku[web:1]. Le fichier malveillant, nommé MixShell, est conçu pour s’exécuter en mémoire, assurant une persistance discrète sur le système infecté.

Les secteurs touchés incluent la fabrication industrielle, les composants, le matériel informatique, la biotechnologie, l’aérospatial et l’énergie. Quelques entreprises en Singapour, Suisse et Japon auraient également été ciblées[web:2]. Pour augmenter la crédibilité, les pirates utilisent des domaines associés à de vraies sociétés US, mais dont les sites sont des copies trompeuses au contenu bidon.

La campagne, baptisée ZipLine, se distingue par l’utilisation de fichiers ZIP contenant à la fois de vrais documents et un fichier malveillant, rendant la détection plus complexe. MixShell utilise des techniques avancées comme le DNS tunneling et la communication HTTP fallback pour garder le contrôle du système et pivoter dans le réseau interne[web:2]. Les payloads peuvent aussi être adaptés selon la géolocalisation ou le type de navigateur de la victime, rendant la menace plus ciblée.

Bien que l’auteur de la campagne soit inconnu, Check Point a identifié des liens avec une infrastructure associée au cluster UNK_GreenSec, déjà observé dans des opérations cybercriminelles liées à la Russie[web:1]. Les experts soulignent le risque accru de vol de propriété intellectuelle, de fraude financière et de perturbation de la chaîne d’approvisionnement pour les secteurs visés.

Il s’agit d’un article de presse spécialisé dont l’objectif principal est d’alerter sur une tactique de ciblage en cours visant le secteur industriel américain.

🔗 Source originale : https://therecord.media/hackers-fake-ndas-malware

🖴 Archive : https://web.archive.org/web/20250827212351/https://therecord.media/hackers-fake-ndas-malware