NotDoor

🔍 Contexte Publié le 27 mai 2026 par la Proofpoint Emerging Threats Team, ce rapport s’appuie sur deux flux de télémétrie : la surveillance des emails ciblés (centaines de millions de messages quotidiens) et un réseau de plus de 5 000 capteurs réseau ayant généré plus de 3 millions d’alertes en 2026. L’article dresse un bilan de l’exploitation des CVE 2026 dans la nature. 📧 Télémétrie email : 3 CVE weaponisées CVE-2026-21509 (Microsoft Office, RCE via RTF/OLE) : weaponisée par TA422 (APT28) dans les 24 heures suivant sa divulgation publique en janvier 2026. Ciblage d’agences gouvernementales ukrainiennes et d’entités européennes (défense, transport, diplomatie) via spear-phishing avec leurres institutionnels haute fidélité. La chaîne d’infection aboutit au backdoor NotDoor Outlook et aux implants Covenant Grunt. L’infrastructure C2 utilise filen.io comme service de stockage cloud. ...

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

Selon le blog PolySwarm, le groupe lié au renseignement russe Fancy Bear (APT28) a déployé NotDoor, un backdoor sophistiqué pour Outlook visant des pays membres de l’OTAN. • Le malware repose sur des macros VBA et abuse un binaire Microsoft OneDrive.exe signé vulnérable au DLL side-loading pour charger une SSPICLI.dll malveillante. Cette DLL installe des macros dans VbaProject.OTM d’Outlook, fournissant le point d’accès du backdoor. • NotDoor surveille des déclencheurs e-mail tels que « Daily Report », puis parse des commandes chiffrées via un encodage Base64 personnalisé avec préfixes aléatoires. Il prend en charge quatre types de commandes: cmd, cmdno, dwn, upl. ...

Source: LAB52 (équipe renseignement de S2 Grupo). Contexte: analyse technique d’un nouvel artefact d’APT28 (« NotDoor ») ayant compromis des entreprises de divers secteurs dans des pays membres de l’OTAN. 🔍 Livraison et installation: Le malware est une macro VBA pour Outlook installée via DLL side‑loading en abusant du binaire légitime Microsoft OneDrive.exe qui charge une SSPICLI.dll malveillante. Cette DLL installe la backdoor en copiant un fichier préparé (c:\programdata\testtemp.ini) vers %APPDATA%\Microsoft\Outlook\VbaProject.OTM, puis désactive des protections macro et boîtes de dialogue via la base de registre. ...