Depuis la seconde moitié de septembre 2025, la National Cybersecurity Response Team of Ukraine (CERT-UA) observe une série d’attaques ciblées dirigées contre les forces de défense ukrainiennes et plusieurs autorités locales.
Ces actions sont attribuées au groupe UAC-0239, soupçonné d’agir pour le compte ou avec le soutien d’entités russes. Les attaquants utilisent comme thème d’ingénierie sociale la « lutte contre les groupes de sabotage et de reconnaissance russes », se présentant faussement comme des représentants du Service de sécurité d’Ukraine (SBU).
Les courriels frauduleux contiennent généralement des liens vers des fichiers malveillants ou des pièces jointes se faisant passer pour des documents officiels du SBU.
Le vecteur d’infection initial
Les messages sont envoyés depuis des adresses utilisant les services Ukr.net et Gmail.
Ils contiennent soit un lien vers un fichier d’archive (souvent protégé par mot de passe), soit directement un fichier joint au format VHD (Virtual Hard Drive).
Une fois ouvert, ce VHD contient un exécutable malveillant et plusieurs documents leurres au format PDF. Ces fichiers visent à inciter l’utilisateur à exécuter le code malveillant.
Outils utilisés : OrcaC2 et FILEMESS
Framework OrcaC2
OrcaC2 est un framework de commande et contrôle (C2) open source, développé en langage Go et disponible sur GitHub.
Bien qu’il s’agisse d’un outil légitime pour la recherche en cybersécurité, il est ici détourné à des fins offensives.
Ses fonctionnalités incluent :
- exécution de commandes à distance ;
- shell interactif ;
- transfert de fichiers ;
- capture d’écran et enregistrement des frappes clavier ;
- manipulation et dump de processus ;
- contournement du contrôle de compte utilisateur (UAC) ;
- injection de code dans des processus ;
- support de protocoles multiples (RUDP, TCP, QUIC, SSH, SMB, SOCKS, etc.) ;
- tunneling réseau et scan de ports.
Pour assurer la persistance, les attaquants peuvent créer des tâches planifiées, des entrées dans le registre Windows (clé Run) ou des services.
Stealer FILEMESS
FILEMESS est un programme malveillant de type stealer, également développé en Go.
Son rôle est de rechercher et d’exfiltrer des fichiers d’intérêt depuis le poste compromis.
Le fonctionnement observé est le suivant :
- Scan récursif des répertoires « Desktop », « Downloads », « Documents » et des disques logiques D à Z.
- Sélection des fichiers selon leurs extensions : documents bureautiques (ODT, DOCX, XLSX, PDF, etc.), images (JPG, PNG, TIFF), archives (ZIP, RAR), textes et bases de données.
- Calcul du hash MD5 de chaque fichier.
- Exfiltration des fichiers via l’API Telegram.
Les tokens d’authentification Telegram sont chiffrés par XOR et encodés en BASE64.
La persistance est assurée par la création d’une entrée dans la clé suivante :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Indicateurs de compromission (IoC)
Fichiers malveillants observés
| Nom du fichier | Type | SHA-256 | Description |
|---|---|---|---|
| Звернення_начальника_УСБУ_в_Харкiвскiй_області_Куц_О_И.exe | Exécutable FILEMESS | 85e304af49dada022bbd6799c3cda1f2 | Stealer développé en Go |
| GoogleUpdate.exe | Exécutable Orca Puppet | 0028c3d0de0a982706cf61f62c3e92e6 | Agent OrcaC2 |
| gupdate.vbs | Script VBS | eb2c906f9d0605c97522420bcf986026 | Téléchargeur secondaire |
| Звернення.pdf | Document leurre | 48665e539496ed859a216bea8bd32124 | Fichier PDF appât |
Infrastructure réseau
| Domaine / IP | Fonction | Observations |
|---|---|---|
| ssu-gov[.]com | Hameçonnage | Faux site imitant le SBU |
| promoukrnet[.]xyz | Commande et contrôle FILEMESS | Port TCP/2264 |
| sbufiles[.]cloud | Hébergement de leurres PDF | Téléchargement de fichiers appâts |
| 185[.]186.26.98 | Serveur C2 OrcaC2 | Infrastructure de commande active |
| api.telegram[.]org/bot7437010550 | Exfiltration | Canaux de transfert de fichiers |
| paste.c-net[.]org | Distribution de scripts | Fichiers “LeatherBlending” et “PasadenaDeepest” |
Chaîne d’infection typique
Une séquence typique d’infection, observée le 26 septembre 2025, est la suivante :
- Réception d’un courriel se faisant passer pour le SBU.
- Téléchargement d’un fichier VHD depuis Google Drive ou un faux domaine gouvernemental.
- Ouverture d’un document PDF à caractère officiel.
- Exécution d’un script VBS (
gupdate.vbs) via PowerShell. - Téléchargement et exécution du fichier
GoogleUpdate.exe(Orca Puppet). - Connexion au serveur de commande (C2) via promoukrnet[.]xyz ou ssu-gov[.]com.
- Exfiltration de fichiers locaux via l’API Telegram.
Recommandations de sécurité
Le CERT-UA recommande les actions suivantes :
- Interdire l’exécution et le montage de fichiers au format VHD reçus par courrier électronique.
- Surveiller le trafic réseau à destination des domaines et adresses IP mentionnés.
- Bloquer les connexions sortantes vers ces indicateurs de compromission.
- Vérifier la présence des fichiers et clés de registre suivants :
%PUBLIC%\Downloads\GoogleUpdate.exe %PUBLIC%\Downloads\gupdate.vbs HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - Signaler tout incident ou activité suspecte à l’adresse incidents@cert.gov.ua.
Sources officielles
- CERT-UA — Rapport officiel n°17691 (14 octobre 2025)
« UAC-0239 здійснює кібератаки з використанням фреймворку OrcaC2 та стілеру FILEMESS »
https://cert.gov.ua/article/6285731 - GitHub — OrcaC2 framework : https://github.com/Ptkatz/OrcaC2
