Selon BleepingComputer, des acteurs de la menace liés au rançongiciel, suivis sous le nom Velvet Tempest, emploient la technique ClickFix et des utilitaires Windows légitimes pour déployer le malware DonutLoader et la porte dérobée CastleRAT.

Velvet Tempest utilise ClickFix pour déployer DonutLoader et CastleRAT

Contexte

Le groupe cybercriminel Velvet Tempest (également suivi sous DEV-0504) a été observé utilisant la technique ClickFix et des outils Windows légitimes pour déployer les malwares DonutLoader et CastleRAT.

L’activité a été analysée par les chercheurs de la société de renseignement MalBeacon dans un environnement d’entreprise simulé pendant 12 jours.

Velvet Tempest est un acteur actif depuis plus de cinq ans dans l’écosystème ransomware.

Groupes ransomware associés

Velvet Tempest a été affilié à plusieurs familles de ransomware majeures :

  • Ryuk (2018–2020)
  • REvil (2019–2022)
  • Conti (2019–2022)
  • BlackMatter
  • BlackCat / ALPHV (2021–2024)
  • LockBit
  • RansomHub

Ces affiliations montrent que le groupe agit souvent comme affilié RaaS pour différents opérateurs.

Environnement observé

Les chercheurs ont observé l’attaque dans un environnement simulant :

  • une organisation à but non lucratif américaine
  • plus de 3 000 endpoints
  • plus de 2 500 utilisateurs

La simulation s’est déroulée entre :

3 février et 16 février

Accès initial

L’accès initial a été obtenu via une campagne de malvertising.

Le scénario d’infection combine :

  • ClickFix
  • CAPTCHA frauduleux

La victime est incitée à :

  1. copier une commande obfusquée
  2. la coller dans la fenêtre Windows Run

Chaîne d’attaque

Étape 1 – Exécution initiale

La commande exécutée déclenche :

  • une chaîne de commandes cmd.exe imbriquées
  • l’utilisation de finger.exe

finger.exe sert à récupérer les premiers loaders malveillants.

Étape 2 – Téléchargement du malware

Un des payloads téléchargés est :

  • une archive déguisée en PDF

Étape 3 – Activités post-exploitation

Les attaquants exécutent plusieurs actions :

  • reconnaissance Active Directory
  • découverte des hôtes
  • profilage de l’environnement
  • collecte d’informations

Étape 4 – Vol d’identifiants

Un script PowerShell est utilisé pour récupérer :

  • identifiants stockés dans Google Chrome

Le script est hébergé sur une infrastructure liée à des intrusions Termite ransomware.

Étape 5 – Déploiement des charges utiles

Les attaquants utilisent PowerShell pour :

  • télécharger des payloads supplémentaires
  • compiler des composants .NET via csc.exe
  • déployer des modules Python pour la persistance

Les fichiers sont installés notamment dans :

C : \ P r o g r a m D a t a

Malware utilisés

DonutLoader

Loader utilisé pour :

  • charger des payloads en mémoire
  • faciliter l’exécution de malware

CastleRAT

Backdoor permettant :

  • contrôle à distance
  • exécution de commandes
  • exfiltration de données

CastleRAT est associé à CastleLoader, qui distribue :

  • RAT
  • infostealers
  • malware tels que LummaStealer

Ransomware associé

L’infrastructure utilisée est liée au ransomware :

Termite

Ce ransomware a déjà ciblé des victimes importantes :

  • fournisseur SaaS Blue Yonder
  • entreprise australienne Genea

Cependant, dans l’attaque observée :

le ransomware n’a pas été déployé.

Techniques observées (TTP)

Principales techniques utilisées :

  • ClickFix social engineering
  • abus d’outils Windows légitimes
  • reconnaissance Active Directory
  • collecte de credentials navigateur
  • déploiement de loaders
  • persistance via scripts Python
  • backdoor RAT

Tendances

La technique ClickFix est de plus en plus utilisée par les groupes ransomware.

Exemple :

  • le groupe Interlock a utilisé cette méthode en 2025 pour compromettre des réseaux d’entreprise.

Cette technique est efficace car elle :

  • contourne certaines protections EDR
  • exploite l’action volontaire de la victime.

Conclusion

L’activité de Velvet Tempest démontre l’évolution des attaques ransomware modernes :

  • exploitation d’ingénierie sociale avancée
  • utilisation d’outils légitimes du système
  • déploiement modulaire de malware
  • persistance furtive avant déploiement éventuel du ransomware.

Les attaques reposent de plus en plus sur l’interaction utilisateur et les techniques “living-off-the-land” pour contourner les mécanismes de défense traditionnels. Il s’agit d’une analyse de menace visant à documenter les techniques et charges utilisées par Velvet Tempest.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/termite-ransomware-breaches-linked-to-clickfix-castlerat-attacks/