Campagne Webrat : un cheval de Troie se propage via GitHub en se faisant passer pour des exploits critiques

Source : Securelist (Kaspersky). L’article présente une analyse de la campagne « Webrat », où un cheval de Troie est diffusé via des dépôts GitHub, se faisant passer pour des exploits de vulnérabilités critiques pour cibler des chercheurs en cybersécurité.

Début 2025, des chercheurs en sécurité ont identifié une nouvelle famille de malwares baptisée Webrat. Initialement, ce cheval de Troie ciblait principalement des utilisateurs grand public en se faisant passer pour des cheats de jeux populaires (Rust, Counter-Strike, Roblox) ou des logiciels piratés.

À partir de septembre, les attaquants ont élargi leur stratégie : en plus des gamers et utilisateurs de cracks, les étudiants et profils juniors en cybersécurité sont désormais explicitement visés.

Distribution et appât : des faux exploits sur GitHub

En octobre, une nouvelle campagne a été identifiée, diffusant Webrat via des dépôts GitHub actifs depuis au moins septembre.
Les attaquants exploitent l’intérêt suscité par des vulnérabilités récentes et médiatisées, en se faisant passer pour des exploits ou PoC associés à des CVE à score CVSS élevé.

Vulnérabilités utilisées comme appâts

CVE	Score CVSS v3
CVE-2025-59295	8.8
CVE-2025-10294	9.8
CVE-2025-59230	7.8

Cette technique n’est pas nouvelle : des campagnes similaires avaient déjà exploité l’intérêt autour de RegreSSHion, avant la publication d’un PoC fonctionnel.

Les attaquants mélangent volontairement :

des CVE sans exploit public existant,
et d’autres disposant déjà d’un PoC, afin de renforcer la crédibilité globale de la campagne.

Des dépôts GitHub crédibles… mais générés par IA

Les dépôts analysés présentent tous une structure quasi identique, fortement évocatrice de contenus générés par IA :

Présentation générale de la vulnérabilité
Systèmes affectés
Instructions de téléchargement et d’installation
Guide d’utilisation de l’exploit
Mesures de mitigation recommandées

Les conseils de mitigation sont quasiment identiques d’un dépôt à l’autre, avec seulement de légères variations de formulation, renforçant l’hypothèse d’un contenu automatisé.

Archive piégée et exécution du malware

Le lien Download Exploit ZIP renvoie vers une archive protégée par mot de passe, hébergée directement sur GitHub.
Le mot de passe est dissimulé dans le nom d’un fichier inclus dans l’archive.

Contenu de l’archive

pass – 8511
- Fichier vide
- Son nom contient le mot de passe de l’archive
payload.dll
- Faux leurre
- Fichier PE corrompu, inopérant
rasmanesc.exe (nom variable)
- Charge utile principale
- MD5 : 61b1fc6ab327e6d3ff5fd3e82b430315
- Fonctions observées :
  - Élévation de privilèges administrateur (T1134.002)
  - Désactivation de Windows Defender (T1562.001)
  - Téléchargement et exécution de Webrat depuis une URL codée en dur (T1608.001)
start_exp.bat
- Contient une seule commande :
- Encourage l’exécution directe par l’utilisateur

Capacités du malware Webrat

Webrat est une porte dérobée complète, offrant un contrôle étendu de la machine compromise.
Les capacités observées incluent :

Vol de données depuis :
- Portefeuilles de cryptomonnaies
- Telegram
- Discord
- Steam
Fonctions de spyware :
- Enregistrement d’écran
- Surveillance via webcam et microphone
- Keylogging

La version utilisée dans cette campagne ne présente pas d’évolution notable par rapport aux variantes précédemment documentées.

Objectifs de la campagne

Historiquement, Webrat se diffusait via :

Cheats de jeux
Cracks logiciels
Faux patchs applicatifs

Dans cette campagne, le changement majeur réside dans le déguisement en exploit et PoC, ciblant explicitement :

Étudiants en cybersécurité
Profils juniors ou autodidactes
Curieux analysant des CVE depuis des sources ouvertes

Un professionnel expérimenté analyserait ce type de code dans :

une machine virtuelle,
un sandbox isolé,
sans accès à des données sensibles ni périphériques physiques.

Ces attaques semblent donc viser des utilisateurs susceptibles d’exécuter directement le faux exploit sur leur machine principale.

Conclusion

La campagne Webrat illustre une évolution préoccupante des tactiques de social engineering, ciblant désormais l’écosystème de la recherche en sécurité lui-même.

Même si le malware n’a pas évolué techniquement, le contexte de diffusion a été soigneusement repensé pour exploiter :

la curiosité,
l’apprentissage,
et l’inexpérience de certains profils.

Recommandations

Toujours analyser exploits et PoC dans des environnements isolés
Ne jamais exécuter de code inconnu sur une machine personnelle ou professionnelle
Se méfier des dépôts GitHub récents exploitant des CVE très médiatisées
Ne jamais ajouter un logiciel aux exclusions de sécurité sans justification solide

Conclusion: article de type analyse de menace, visant à documenter la campagne Webrat et ses méthodes de distribution/leurre.

🧠 TTPs et IOCs détectés

TTPs

[‘Dissémination via dépôts GitHub publics’, ‘Usurpation d’exploits de vulnérabilités critiques’, ‘Ingénierie sociale ciblant des chercheurs en cybersécurité’]

IOCs

🔗 Dépôts GitHub malveillants

https://github[.]com/RedFoxNxploits/CVE-2025-10294-Poc https://github[.]com/FixingPhantom/CVE-2025-10294 https://github[.]com/h4xnz/CVE-2025-10294-POC https://github[.]com/usjnx72726w/CVE-2025-59295/tree/main https://github[.]com/stalker110119/CVE-2025-59230/tree/main https://github[.]com/moegameka/CVE-2025-59230 https://github[.]com/DebugFrag/CVE-2025-12596-Exploit https://github[.]com/themaxlpalfaboy/CVE-2025-54897-LAB https://github[.]com/DExplo1ted/CVE-2025-54106-POC https://github[.]com/h4xnz/CVE-2025-55234-POC https://github[.]com/Hazelooks/CVE-2025-11499-Exploit https://github[.]com/usjnx72726w/CVE-2025-11499-LAB https://github[.]com/modhopmarrow1973/CVE-2025-11833-LAB https://github[.]com/rootreapers/CVE-2025-11499 https://github[.]com/lagerhaker539/CVE-2025-12595-POC

🔗 Dépôts GitHub malveillants

📁 Fichiers malveillants observés

rasmanesc.exe # chargeur principal (nom variable) payload.dll # leurre PE corrompu start_exp.bat # exécution du malware pass – 8511 # fichier vide contenant le mot de passe ZIP

🔐 Empreintes cryptographiques (MD5)

28a741e9fcd57bd607255d3a4690c82f a13c3d863e8e2bd7596bac5d41581f6a 61b1fc6ab327e6d3ff5fd3e82b430315

TTPs (extraits) 🧠 MITRE ATT&CK Mapping Tactique Technique ID Description Initial Access User Execution T1204 Exécution volontaire d’un faux exploit Initial Access Spearphishing (non-email) T1566 Appât via faux PoC hébergés sur GitHub Defense Evasion Impair Defenses T1562.001 Désactivation de Windows Defender Privilege Escalation Abuse Elevation Control Mechanism T1134.002 Élévation de privilèges administrateur Command and Control Stage Capabilities T1608.001 Téléchargement et exécution du payload Webrat Command and Control Application Layer Protocol T1071 Communication HTTP avec le C2 Masquerading Masquerading T1036 Malware déguisé en exploit CVE Credential Access Credentials from Password Stores T1555 Vol de comptes (Telegram, Discord, Steam, wallets) Collection Input Capture T1056 Keylogging Collection Screen Capture T1113 Capture d’écran Collection Audio Capture T1123 Espionnage via microphone Collection Video Capture T1125 Espionnage via webcam Persistence Boot or Logon Autostart Execution T1547 (potentiel) Persistance possible selon configuration

🔗 Source originale : https://securelist.com/webrat-distributed-via-github/118555/

Distribution et appât : des faux exploits sur GitHub#

Vulnérabilités utilisées comme appâts#

Des dépôts GitHub crédibles… mais générés par IA#

Archive piégée et exécution du malware#

Contenu de l’archive#

Capacités du malware Webrat#

Objectifs de la campagne#

Conclusion#

Recommandations#

🧠 TTPs et IOCs détectés#

TTPs#

IOCs#