EtherRAT Distribution Spoofing Administrative Tools via GitHub Facades
رد بالك: حملة EtherRAT كيتستهدفو ليزادمين (SysAdmins) عن طريق GitHub و الـ Blockchain
Alerte Cybersécurité : La campagne EtherRAT cible les admins système via des "Facades" GitHub et la Blockchain
À l'attention des administrateurs système, ingénieurs DevOps et analystes en sécurité au Maroc : une campagne sophistiquée baptisée EtherRAT est actuellement en cours. Cette opération utilise des techniques avancées pour infiltrer des environnements d'entreprise en usurpant l'identité d'outils d'administration populaires.
TL;DR
La campagne EtherRAT utilise des "facades" GitHub optimisées pour le référencement (SEO) afin de distribuer des malwares aux profils IT à hauts privilèges. En détournant des outils comme PsExec et AzCopy, les attaquants installent un cheval de troie (RAT) qui utilise la blockchain Ethereum pour contacter son serveur de contrôle (C2). Cette méthode rend le blocage traditionnel par IP ou domaine presque impossible.
Une stratégie de distribution en deux étapes via GitHub
Identifiée par l’Atos Threat Research Center (TRC) en mars 2026, cette campagne se distingue par sa résilience. Contrairement aux attaques classiques, les acteurs malveillants utilisent une architecture GitHub à deux étages :
- La Facade SEO : L'attaquant crée un premier dépôt GitHub "propre". Ce dépôt contient un fichier README professionnel mais aucune charge virale. Son seul but est de remonter en haut des résultats de recherche sur Google, Bing, DuckDuckGo ou Yandex grâce au SEO Poisoning (une technique visant à manipuler les algorithmes des moteurs de recherche).
- Le Dépôt de Distribution : Le lien de téléchargement présent dans la facade renvoie vers un second dépôt GitHub, distinct du premier. C'est ici qu'est hébergé le fichier MSI malveillant.
Cette séparation permet aux attaquants de conserver leur visibilité sur les moteurs de recherche : si le second dépôt (le malveillant) est supprimé par GitHub, il leur suffit de mettre à jour le lien dans la "facade" pour pointer vers un nouveau compte de distribution. Entre décembre 2025 et avril 2026, 44 facades différentes ont été détectées.
Ciblage stratégique des profils "High-Privilege"
L'aspect le plus inquiétant pour nos infrastructures locales est le choix des outils usurpés. Les attaquants ne visent pas le grand public, mais spécifiquement les profils ayant les "clés du royaume" (accès administrateur). Les malwares sont camouflés en utilitaires indispensables auxOps et SysAdmins tels que :
- PsExec et ProcDump (Suite Sysinternals)
- AzCopy (Transfert de données Azure)
- LAPS (Local Administrator Password Solution)
- Kusto Explorer (Requêtes Azure Data Explorer)
- Sysmon et BgInfo
En téléchargeant ce qui semble être une mise à jour ou un outil standard, un administrateur peut involontairement compromettre l'ensemble du réseau de son entreprise, facilitant ainsi un mouvement latéral (la progression de l'attaquant d'une machine à une autre au sein du domaine).
C2 décentralisé : L'usage de la Blockchain Ethereum
Une fois le fichier MSI exécuté, le malware EtherRAT déploie une méthode de communication hautement résiliente appelée Blockchain-based Dead Drop Resolving (DDR).
Au lieu de contacter une adresse IP fixe qui pourrait être bloquée par un pare-feu ou un SOC, le malware interroge un Smart Contract Ethereum via des points d'accès publics (RPC endpoints).
- Smart Contract : Un programme autonome sur la blockchain. Ici, il sert de répertoire dynamique.
- RPC Endpoint : Une porte d'entrée permettant au malware de lire des données sur la blockchain sans posséder de nœud complet.
En modifiant simplement une valeur dans le contrat intelligent sur la blockchain, l'attaquant peut changer l'adresse de son serveur de contrôle (C2) instantanément. Tant que l'accès aux passerelles Ethereum publiques est autorisé, le malware peut retrouver sa "maison" (le serveur de l'attaquant), rendant les efforts de neutralisation par blocage de domaine inefficaces.
Recommandations pour les professionnels IT au Maroc
Pour se prémunir contre cette menace qui cible spécifiquement votre stack technique, les experts recommandent les mesures suivantes :
- Sources Officielles uniquement : Ne téléchargez jamais d'outils d'administration (Sysinternals, Azure Tools) depuis GitHub ou des sites tiers. Utilisez exclusivement les portails officiels de Microsoft (ex: Microsoft Learn).
- Vérification des Signatures : Avant d'exécuter un installateur MSI, vérifiez systématiquement la signature numérique du fichier pour vous assurer qu'il provient bien de l'éditeur officiel.
- Restriction des Flux RPC : Pour les serveurs et postes sensibles, limitez ou surveillez l'accès aux points d'accès RPC Ethereum publics (ex: Infura, Alchemy) s'ils ne sont pas nécessaires au business.
- Surveillance MSI : Configurez vos outils EDR/SIEM pour alerter sur l'exécution de fichiers MSI provenant de répertoires de téléchargement temporaires liés au navigateur.
Conclusion
La campagne EtherRAT illustre une professionnalisation accrue des cyber-menaces. En combinant l'ingénierie sociale (via l'usurpation d'outils de confiance), l'agilité logicielle (via les facades GitHub) et l'immuabilité de la blockchain, les attaquants visent le maillon le plus critique de la chaîne de sécurité : l'administrateur système. La vigilance lors du téléchargement d'utilitaires, même sur des plateformes réputées comme GitHub, reste votre meilleure défense.
Source : EtherRAT Distribution Spoofing Administrative Tools via GitHub Facades
