Source: Kaspersky Team (12 déc. 2025). Analyse d’une campagne malveillante exploitant des sites web générés par IA pour propager une version détournée de l’outil d’accès à distance Syncro.

Les attaquants créent des versions signées d’un outil d’accès à distance (RAT) légitime, Syncro, puis les distribuent via des pages web générées en masse avec l’outil IA Lovable 🎭. Ces sites imitent de façon convaincante des services populaires (ex. clones liés à Polymarket, portefeuilles Lace et Yoroi, Liqwid DeFi, antivirus Avira, gestionnaire de mots de passe Dashlane), sans être des copies parfaites. Les noms de domaine suivent souvent le motif {application}+desktop.com.

Le vecteur d’accès initial combine SEO poisoning (trafic depuis Google vers ces faux sites) et campagnes d’emails malveillants. Un exemple d’email pousse les détenteurs de $DOP vers un faux portail de réclamation DOP‑v2 (lien « migrate-dop{dot}org »). Certaines pages emploient du scareware avec de faux avertissements de sécurité pour inciter au téléchargement d’une « mise à jour » critique.

La charge utile est une installation silencieuse de Syncro configurée avec l’identifiant CUSTOMER_ID des attaquants, conférant un contrôle total sur la machine (partage d’écran, exécution de commandes, transfert de fichiers, analyse de journaux, modification du registre). L’installateur n’apparaît que brièvement, rendant l’infection discrète. Le but observé est le vol de clés de portefeuilles de cryptomonnaies et le détournement de fonds 💰. Des pages proposent des téléchargements pour Windows, macOS et Linux (ex. faux site Liqwid), malgré l’absence d’apps officielles sur certaines plateformes.

Détection: Kaspersky indique que les outils RMM légitimes peuvent être signalés comme « Not-a-virus » afin d’alerter sans bloquer d’emblée les usages légitimes, et que les variantes malveillantes de Syncro sont détectées sous HEUR:Backdoor.OLE2.RA-Based.gen. Les utilisateurs de Kaspersky Premium peuvent recourir à la détection des accès à distance (et suppression) et sont invités à vérifier les URLs, à éviter les sources douteuses et à tenir compte des alertes antivirus/antiphishing.

IOCs et TTPs

  • IOCs: motif de domaine « {app}desktop.com »; lien observé « migrate-dop{dot}org »; détection Kaspersky: « HEUR:Backdoor.OLE2.RA-Based.gen »; marquage « Not-a-virus » pour outils RMM.
  • TTPs: SEO poisoning (rediriger via Google), phishing par email (leurre DOP‑v2), scareware, génération de sites via IA (Lovable), abus d’outil RMM légitime (Syncro) avec CUSTOMER_ID attaquant, installation en arrière-plan et prise de contrôle à distance visant le vol de crypto-actifs.

Conclusion: il s’agit d’une analyse de menace visant à documenter une campagne d’abus d’un RMM légitime diffusé via des sites IA factices et du phishing, avec focalisation sur le vol de cryptomonnaies.

🧠 TTPs et IOCs détectés

TTP

SEO poisoning, phishing par email, scareware, génération de sites via IA, abus d’outil RMM légitime, installation en arrière-plan, prise de contrôle à distance, vol de crypto-actifs

IOC

motif de domaine « {app}desktop.com »; lien observé « migrate-dop{dot}org »; détection Kaspersky: « HEUR:Backdoor.OLE2.RA-Based.gen »; marquage « Not-a-virus » pour outils RMM

🔗 Source originale : https://www.kaspersky.fr/blog/syncro-remote-admin-tool-on-ai-generated-fake-websites/23433/