Selon Logpresso (13 octobre 2025), une campagne attribuée au groupe APT nord-coréen Lazarus a visé en septembre 2025 des systèmes Windows et MacOS via de faux correctifs/updates NVIDIA, avec des objectifs d’espionnage et de gains financiers.
La campagne est multiplateforme et s’appuie sur des fichiers malveillants déguisés en mises à jour NVIDIA/patchs de pilotes. Les charges utiles, écrites en Node.js et Python, établissent la persistance, collectent des informations système et d’implantation géographique, extraient des identifiants et des données de carte de paiement, et communiquent avec des serveurs C2. Les cibles incluent des actifs crypto, des institutions financières et des entités gouvernementales.
Sur Windows, l’exécution initiale repose sur un script VBS (run.vbs), tandis que sur MacOS elle s’appuie sur un script shell (mac_camera.driver). Les deux variantes installent Node.js pour exécuter main.js, qui télécharge des payloads Python chiffrés depuis l’infrastructure C2. Avant exécution, les charges subissent une décryption en plusieurs couches: inversion de chaîne → Base64 → décompression zlib. La persistance est obtenue via la clé de registre HKCU\Software\Microsoft\Windows\CurrentVersion\Run (Windows) et via un LaunchAgent nommé com.local.drvierUpdate.plist (MacOS). L’exfiltration vise notamment les identifiants des navigateurs Chromium.
La variante Windows intègre un backdoor Nukesped (drvupdate.exe) offrant une console distante. Les communications C2 utilisent un encodage Base64 avec XOR(0x49) pour la dissimulation. La campagne illustre des techniques d’évasion avancées, notamment des chaînes multi‑étapes et une forte obfuscation.
IOCs et artefacts notables:
- Fichiers/scripts: run.vbs, mac_camera.driver, main.js, drvupdate.exe (Nukesped)
- Persistance: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, LaunchAgent com.local.drvierUpdate.plist
- Chaîne de déchiffrement: inversion → Base64 → zlib
- Protocoles/obfuscation C2: Base64 + XOR(0x49)
TTPs (MITRE ATT&CK, synthèse):
- Initial access: fichiers déguisés en mises à jour/patchs NVIDIA; spear phishing/social engineering 🎯
- Execution: Node.js pour lancer main.js; téléchargement et exécution de payloads Python
- Defense evasion: multi‑stage decryption, obfuscation
- Persistence: Run Key (Windows), LaunchAgents (Mac)
- Credential access/exfiltration: vol d’identifiants Chromium et données de cartes; exfiltration vers C2
- Command and control: Nukesped avec remote shell, Base64+XOR
Type d’article: analyse de menace visant à documenter la campagne, ses techniques et ses cibles.
🧠 TTPs et IOCs détectés
TTPs
[‘T1566.002 - Spear Phishing Link’, ‘T1204.002 - User Execution: Malicious File’, ‘T1059.007 - Command and Scripting Interpreter: JavaScript’, ‘T1059.006 - Command and Scripting Interpreter: Python’, ‘T1140 - Deobfuscate/Decode Files or Information’, ‘T1027 - Obfuscated Files or Information’, ‘T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder’, ‘T1543.001 - Create or Modify System Process: Launch Agent’, ‘T1070.004 - Indicator Removal on Host: File Deletion’, ‘T1555.001 - Credentials from Web Browsers’, ‘T1041 - Exfiltration Over C2 Channel’, ‘T1105 - Ingress Tool Transfer’, ‘T1573.001 - Encrypted Channel: Symmetric Cryptography’, ‘T1203 - Exploitation for Client Execution’, ‘T1106 - Native API’]
IOCs
[‘run.vbs’, ‘mac_camera.driver’, ‘main.js’, ‘drvupdate.exe’, ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run’, ‘LaunchAgent com.local.drvierUpdate.plist’]
🔗 Source originale : https://logpresso.com/ko/blog/2025-10-13-lazarus-apt-attack
🖴 Archive : https://web.archive.org/web/20251013200011/https://logpresso.com/ko/blog/2025-10-13-lazarus-apt-attack