Des chercheurs en cybersécurité ont récemment mis en lumière l’exploitation d’une faille de sécurité dans Microsoft Windows, désormais corrigée, utilisée pour déployer le malware PipeMagic dans des attaques de type RansomExx. Cette vulnérabilité, référencée CVE-2025-29824, permettait une escalade de privilèges sur le système Windows, plus précisément au niveau du Common Log File System (CLFS). Elle a été corrigée par Microsoft en avril 2025 selon un rapport conjoint de Kaspersky et BI.ZONE.
Comment le malware PipeMagic fonctionne-t-il?
PipeMagic est un malware modulaire qui agit comme une porte dérobée sur les systèmes infectés. Il peut exécuter une large gamme de commandes et permettre aux cybercriminels un accès à distance complet. Cette menace a été initialement identifiée en 2022, ciblant principalement des entreprises industrielles en Asie du Sud-Est. Dans ses attaques précédentes, PipeMagic exploitait des failles comme CVE-2017-0144, une vulnérabilité de Windows SMB, pour infiltrer les infrastructures des victimes.
Les méthodes d’infection récentes
En octobre 2024, certaines attaques observées en Arabie Saoudite utilisaient une fausse application OpenAI ChatGPT comme appât pour distribuer le malware. En 2025, Microsoft a attribué l’exploitation de CVE-2025-29824 à un acteur malveillant suivi sous le nom Storm-2460. PipeMagic crée une pipe nommée aléatoire pour transmettre des charges utiles et notifications chiffrées, ce qui permet au malware de rester discret tout en gardant une communication constante avec ses serveurs de commande et contrôle (C2).
PipeMagic: Un malware modulaire et sophistiqué
Ce malware fonctionne avec différents modules :
- Module de communication asynchrone: permet d’exécuter cinq commandes principales comme lire/écrire des fichiers ou arrêter des opérations
- Module chargeur: injecte des charges supplémentaires en mémoire
- Module injecteur: lance des exécutables C#
Les attaques récentes en Arabie Saoudite et au Brésil ont utilisé un fichier Microsoft Help Index (« metafile.mshi ») comme chargeur. Ce fichier décompresse du code C# qui déchiffre et exécute du code malveillant directement en mémoire. Cette méthode limite les traces sur le disque dur et rend la détection plus difficile.
Techniques avancées pour rester invisible
PipeMagic utilise des techniques telles que le DLL hijacking et peut se faire passer pour des applications légitimes comme Google Chrome (« googleupdate.dll ») ou un client ChatGPT. Le malware peut extraire la mémoire de processus sensibles, comme LSASS, avec l’outil ProcDump renommé « dllhost.exe ». Les versions 2025 sont plus persistantes et capables de se déplacer latéralement à l’intérieur des réseaux des victimes.
Quels sont les risques pour les entreprises?
Le malware PipeMagic offre aux cybercriminels un contrôle quasi total sur les systèmes infectés. Son architecture modulaire et sa communication via des pipes nommées rendent son analyse et sa détection extrêmement difficiles. Les secteurs touchés incluent les technologies de l’information, la finance et l’immobilier, avec des attaques signalées aux États-Unis, en Europe, en Amérique du Sud et au Moyen-Orient.
Comment se protéger?
Pour réduire les risques, il est essentiel de :
- Appliquer immédiatement toutes les mises à jour de sécurité Windows
- Éviter de télécharger des applications provenant de sources non vérifiées
- Surveiller l’activité réseau et les processus inhabituels
- Former les employés à la vigilance face aux emails et liens suspects
Conclusion: Rester vigilant face à PipeMagic
PipeMagic illustre la sophistication croissante des malwares et l’importance de maintenir des systèmes à jour. Même si la faille CVE-2025-29824 est corrigée, les cybercriminels continuent d’innover et de développer de nouvelles techniques pour rester invisibles. Les entreprises doivent combiner mises à jour régulières, surveillance réseau et sensibilisation des employés pour se protéger efficacement.