Le fournisseur de cybersécurité ReliaQuest a noté que les cybercriminels ont utilisé principalement sept différents loaders pour mener leurs campagnes d’intrusion durant la première moitié de 2023.
Trois d’entre eux, QakBot, SocGholish et Raspberry Robin, étaient les plus utilisés, représentant 80% de toutes les intrusions.
QakBot, l’outil préféré de BlackBasta
Le premier, QakBot (également connu sous les noms QBot, QuackBot, Pinkslipbot), a été utilisé dans 30% des intrusions détectées par ReliaQuest. Actif depuis 2009, QakBot est associé au groupe de ransomware BlackBasta et cible principalement les industriels. Il était à l’origine un trojan bancaire mais s’est transformé en loader de malware capable de déployer d’autres charges utiles, de voler des informations sensibles et de permettre des mouvements latéraux. Il est généralement déployé via un e-mail de phishing contenant des pièces jointes ou des liens trompeurs. QakBot utilise ensuite divers fichiers qui, une fois exécutés, établissent généralement une persistance. Enfin, QakBot exécute des commandes de découverte et commence la communication avec un serveur C2.
SocGholish, le loader d’Evil Corp depuis 2018
Le deuxième, SocGholish, a été impliqué dans 27% des intrusions. Associé à Evil Corp, un groupe présumé basé en Russie, SocGholish a commencé à être utilisé en 2018. Il s’agit d’un loader basé sur JavaScript qui cible les environnements Windows. Le logiciel malveillant est livré via des compromis drive-by. SocGholish est également lié à Exotic Lily, actif depuis au moins septembre 2021. Les opérateurs de SocGholish sont connus pour leurs attaques agressives.
Raspberry Robin, un ver devenu loader utilisé par divers groupes
Le troisième, Raspberry Robin, a été déployé dans 23% des intrusions. Ce loader est associé à divers groupes malveillants. Raspberry Robin est un ver devenu loader qui cible les environnements Windows. Une fois Raspberry Robin en cours d’exécution, des processus supplémentaires sont lancés. En 2023, Raspberry Robin a été utilisé pour cibler diverses organisations. Les opérateurs de SocGholish ont utilisé Raspberry Robin afin de cibler principalement les services juridiques et financiers.
