LummaC2 est un logiciel malveillant de type voleur d’informations (infostealer) signalé pour la première fois en 2022 sur des forums cybercriminels russophones. Ce malware est capable d’infiltrer les réseaux informatiques de ses victimes et d’en exfiltrer des données sensibles, constituant une menace pour de nombreux secteurs – y compris des infrastructures critiques aux États-Unis.
Le FBI et la CISA ont publié le 21 mai 2025 une alerte conjointe détaillant les tactiques, techniques et procédures (TTPs) associées à LummaC2, ainsi que des indicateurs de compromission (IOCs) observés entre novembre 2023 et mai 2025.
D’après ce rapport, l’activité malveillante liée à LummaC2 a été observée jusqu’en mai 2025, ce qui souligne la persistance de la menace.
Infection et évasion
La méthode d’infection initiale de LummaC2 repose principalement sur des campagnes d’hameçonnage ciblé (spear phishing). Les acteurs malveillants diffusent la charge utile de LummaC2 via des pièces jointes infectées ou des liens piégés dans des courriels.
Une fois l’utilisateur appâté, l’exécution du malware nécessite une action manuelle : un faux test de type CAPTCHA est affiché, demandant à la victime de copier-coller un contenu dans la fenêtre d’exécution Windows (Win+R). Cette manipulation déclenche en réalité l’exécution d’un script PowerShell encodé en Base64, permettant d’installer le malware.
Pour masquer leurs opérations et contourner les défenses, les attaquants dissimulent LummaC2 dans de faux installateurs de logiciels populaires (par exemple un lecteur multimédia ou un utilitaire connus).
Ce procédé, combiné à une forte obfuscation du code, permet à LummaC2 d’échapper aux solutions de sécurité classiques (antivirus, EDR) conçues pour détecter les tentatives de phishing ou les téléchargements illicites. LummaC2 s’exécute en outre essentiellement en mémoire (mode fileless), sans créer de fichiers sur le disque tant qu’aucune instruction du C2 ne l’exige, ce qui complique sa détection par les outils de défense endpoints.
Enfin, un mécanisme de vérification interne (basé sur le nom d’utilisateur et le nom de la machine) sert de garde-fou pour éviter que le malware ne s’active sur le système de son auteur : s’il détecte ces valeurs spécifiques, il s’arrête immédiatement.
Exécution et communications avec le C2
Lorsqu’il s’exécute sur un système, le binaire LummaC2.exe entame une série de routines successives. Il affiche d’abord une boîte de dialogue dont l’interaction conditionne la suite : si l’utilisateur clique sur « No », le programme se ferme, mais s’il clique sur « Yes », le malware poursuit son exécution en déchiffrant une liste de noms de domaine de commande‑et‑contrôle (serveurs C2) intégrée en dur dans son code.
Ces domaines de repli sont essayés un à un : LummaC2 tente des connexions HTTP (requêtes POST) successives jusqu’à parvenir à contacter un serveur C2 opérationnel. Une fois un canal établi, le malware collecte certaines informations système de base (par ex. le nom d’utilisateur et le nom de l’ordinateur) puis envoie ces données au C2, avant d’attendre des instructions supplémentaires sous forme d’une configuration JSON chiffrée.
Il faut retenir que les communications de LummaC2 avec son C2 empruntent des protocoles Web standards (HTTP/HTTPS), conformément aux techniques d’attaque de type Web Protocols décrites par MITRE ATT&CK (T1071.001).
Ce mode de communication via des ports courants rend le trafic C2 plus discret au sein du trafic réseau légitime de l’organisation ciblée.
Vol de données et impacts
Une fois connecté à son serveur de commande, LummaC2 peut recevoir différentes instructions indiquant quelles données collecter sur la machine infectée. Le rapport FBI/CISA décrit plusieurs codes d’opération (« opcodes ») correspondant aux types de vol de données que le malware peut réaliser.
L’instruction principale (Opcode 0) permet un vol de fichiers générique et paramétrable (chemin d’accès, types de fichiers visés, profondeur récursive, taille maximale) afin d’exfiltrer divers documents selon les critères définis par l’attaquant.
D’autres commandes plus spécifiques ciblent directement les navigateurs web : par exemple, Opcode 1 vise l’extraction des données de navigation (profils, identifiants, cookies, etc.) pour la plupart des navigateurs (Chrome, Edge, Opera…), tandis que Opcode 2 est dédié à Mozilla Firefox.
LummaC2 peut également recevoir l’ordre de télécharger un fichier depuis une URL externe (Opcode 3) puis de l’exécuter sur la machine victime. Le mode d’exécution du fichier distant est précisé par la configuration : soit via un appel direct aux API Windows (LoadLibraryW), soit via le chargeur de bibliothèque système rundll32.exe. Par ailleurs, le malware dispose d’une fonctionnalité de capture d’écran : si la configuration C2 l’indique (« se »: true), une copie de l’écran en cours (format BMP) est réalisée et transmise au serveur. De même, une instruction « ad »: true ordonne au malware de supprimer son propre fichier, s’auto-effaçant du système infecté une fois ses autres tâches accomplies.
Les informations dérobées par LummaC2 couvrent un large périmètre : données personnelles identifiables, identifiants et mots de passe (notamment financiers), portefeuilles de cryptomonnaies, extensions de navigateurs web, données d’authentification multi-facteur (MFA), etc.
Ces données exfiltrées alimentent un marché clandestin lucratif : plus de 21 000 archives de logs issus d’infections par LummaC2 étaient en vente sur des forums cybercriminels entre avril et juin 2024, soit une hausse de 71,7 % par rapport à la même période en 2023. Ce volume illustre l’ampleur des compromissions réussies et la demande élevée pour ce type de données volées.
Tactiques MITRE ATT&CK associées
Le rapport mappe les activités de LummaC2 sur les catégories de techniques MITRE ATT&CK employées par ce malware. En Accès initial, les campagnes de phishing ciblé via pièces jointes ou liens (techniques T1566.001 et T1566.002) sont soulignées comme vecteur d’intrusion principal. Pour la Défense/Évasion, LummaC2 recourt à des fichiers obfusqués (T1027) et à l’usurpation de logiciels légitimes (T1036) afin de déjouer la détection, et il décode ses chaînes malveillantes en mémoire (T1140) pour activer ses domaines C2.
En phase de Découverte, le malware interroge le système (par exemple via les API GetUserNameW et GetComputerNameW) et collecte des informations sur l’environnement de navigation (T1012, T1217). La Collecte de données est automatisée (T1119), ce qui inclut par exemple l’extraction des portefeuilles de cryptomonnaie de l’utilisateur.
Pour le Command & Control, le malware communique via des protocoles Web (HTTP/HTTPS) standards (T1071.001) et peut transférer des fichiers ou outils supplémentaires vers le système compromis (T1105). Enfin, en phase d’Exfiltration, LummaC2 exfiltre discrètement les données volées hors du réseau de la victime (TA0010) et peut exécuter des fichiers avec les API natives du système (T1106).
Indicateurs de compromission (IOCs)
L’alerte conjointe fournit également une liste d’indicateurs de compromission pour aider à détecter LummaC2.
En particulier, plus de 70 noms de domaine malveillants utilisés pour diffuser le malware ont été documentés – par exemple : Pinkipinevazzey[.]pw, Fragnantbui[.]shop, Medicinebuckerrysa[.]pw, Musicallyageop[.]pw, etc..
Le rapport fournit aussi les empreintes cryptographiques (hash) de multiples échantillons de LummaC2 identifiés entre fin 2023 et 2025. Parmi ces hashes figurent notamment plusieurs valeurs MD5 (par ex. 4AFDC05708B8B39C82E60ABE3ACE55DB pour un échantillon de novembre 2023), des SHA‑1, des SHA‑256, ainsi qu’une empreinte de type TLSH (Trend Micro Locality Sensitive Hash).
Ces IOCs – noms de domaine et condensats de fichiers malveillants – offrent aux équipes SOC/CERT des éléments concrets pour rechercher d’éventuelles traces de LummaC2 au sein de leurs systèmes d’information.
En espérant que cette synthèse vous soit utile
Enjoy !
