DRILLAPP : un backdoor russe espionne via Microsoft Edge

Un navigateur transforme en arme d'espionnage

Les chercheurs de S2 Grupo, via leur equipe de threat intelligence LAB52, viennent de documenter une campagne d'espionnage particulierement creative. Le groupe de menace Laundry Bear (aussi connu sous les noms UAC-0190 et Void Blizzard), attribue a la Russie, utilise Microsoft Edge comme vecteur principal pour deployer un backdoor (une porte derobee, un programme qui donne un acces distant non autorise a une machine) baptise DRILLAPP. Les cibles : des organisations ukrainiennes.

Ce qui rend cette attaque remarquable, c'est l'utilisation du navigateur web comme infrastructure d'attaque. Au lieu de deployer un malware classique qui tourne en tant que processus independant, Laundry Bear lance Edge en mode headless (sans interface graphique visible) avec des parametres qui desactivent toutes les protections de securite. Le navigateur devient alors une plateforme d'espionnage complete.

La chaine d'infection : du fichier LNK au controle total

La campagne, observee en fevrier 2026, utilise deux variantes d'infection. La premiere, detectee debut fevrier, repose sur des fichiers LNK (des raccourcis Windows). Les victimes recoivent des emails contenant des leurres lies a l'installation de Starlink (le service internet par satellite de SpaceX) ou a la Come Back Alive Foundation, une organisation caritative ukrainienne bien connue.

Quand la victime ouvre le fichier LNK, celui-ci cree une application HTA (HTML Application, un format de fichier Microsoft qui execute du code HTML avec des privileges eleves) dans le dossier temporaire de Windows. Ce fichier HTA contacte ensuite Pastefy, un service de partage de texte en ligne (similaire a Pastebin), pour recuperer un script distant. Les attaquants utilisent Pastefy comme "dead drop resolver", un intermediaire qui fournit l'adresse reelle du serveur de commande et controle (C2).

Pour assurer la persistance (le fait de survivre a un redemarrage de la machine), le malware copie les fichiers LNK dans le dossier Startup de Windows. A chaque demarrage du PC, l'infection se relance automatiquement.

Edge en mode headless : une idee brillante et terrifiante

Voila ou ca devient technique et fascinant. Une fois le script initial execute, le malware lance Microsoft Edge en mode headless avec une serie de parametres qui font froid dans le dos :

Le flag --no-sandbox desactive le bac a sable du navigateur, cette couche de securite qui isole normalement le navigateur du reste du systeme. Le flag --disable-web-security supprime les politiques de meme origine, les regles qui empechent un site web d'acceder aux donnees d'un autre. Le flag --allow-file-access-from-files donne au navigateur acces au systeme de fichiers local. Et --use-fake-ui-for-media-stream combine a --auto-select-screen-capture-source=true et --disable-user-media-security permet d'acceder a la camera, au microphone et a la capture d'ecran sans aucune interaction de l'utilisateur.

En clair, Edge est lance avec toutes ses protections supprimees. Le navigateur a acces aux fichiers locaux, a la webcam, au micro et a l'ecran, et tout ca sans qu'aucune fenetre n'apparaisse. La victime ne voit rien.

Comme le soulignent les chercheurs de S2 Grupo : "L'un des aspects les plus notables est l'utilisation du navigateur pour deployer un backdoor, ce qui suggere que les attaquants explorent de nouvelles manieres d'echapper a la detection."

Ce que DRILLAPP peut faire

Les capacites du backdoor sont etendues. DRILLAPP peut telecharger et uploader des fichiers depuis et vers la machine infectee. Il capture l'audio du microphone en continu. Il enregistre la video de la webcam. Il prend des captures d'ecran. Et il realise du fingerprinting (l'identification unique d'un appareil) via canvas fingerprinting, une technique qui utilise le rendu graphique du navigateur pour generer un identifiant unique de la machine.

Le malware collecte egalement la geolocalisation de la victime en se basant sur le fuseau horaire configure, puis transmet cette information avec l'empreinte numerique de l'appareil au serveur C2.

Pour l'exfiltration de fichiers, DRILLAPP utilise le Chrome DevTools Protocol (CDP), un protocole de debogage integre aux navigateurs bases sur Chromium. C'est normalement un outil pour les developpeurs web, mais ici il est detourne pour telecharger discretement des fichiers depuis la machine de la victime.

Version 2 : encore plus agressive

Fin fevrier, les chercheurs ont observe une seconde version de la campagne. Les fichiers LNK ont ete remplaces par des modules du Panneau de configuration Windows (des fichiers CPL), une technique qui permet d'executer du code avec moins de suspicion puisque le Panneau de configuration est un composant systeme legitime.

Cette seconde version embarque un backdoor ameliore avec des capacites supplementaires : enumeration recursive des fichiers (le malware parcourt l'ensemble de l'arborescence de dossiers) et upload par lots. Le malware peut maintenant aspirer des repertoires entiers d'un coup, ce qui accelere considerablement le vol de donnees.

Pourquoi le navigateur comme vecteur ?

La strategie est maline. La plupart des solutions de securite (antivirus, EDR qui sont des outils de detection et reponse sur les endpoints) surveillent les processus suspects. Un executable inconnu qui accede a la webcam va declencher des alertes. Mais Microsoft Edge ? C'est un processus totalement legitime, present sur toutes les machines Windows. Un processus Edge qui accede au reseau, ca n'a rien d'anormal. Un processus Edge qui utilise le microphone ? Ca peut etre un appel Teams ou une visioconference.

En se cachant derriere un processus de confiance, Laundry Bear rend la detection beaucoup plus difficile. Les outils de securite doivent maintenant distinguer entre un Edge "normal" et un Edge "arme", ce qui est nettement plus complexe que de reperer un binaire malveillant inconnu.

Les pays surveilles

Le malware contient une liste de pays pour lesquels il effectue un suivi : Royaume-Uni, Russie, Allemagne, France, Chine, Japon, Etats-Unis, Bresil, Inde, Ukraine, Canada, Australie, Italie, Espagne et Pologne. Cette liste suggerent que si la campagne cible principalement l'Ukraine, le groupe Laundry Bear s'interesse a un spectre geographique bien plus large.

Ce qu'il faut retenir

Cette campagne illustre une tendance de fond dans le monde de la cybermenace : les attaquants abandonnent progressivement les malwares classiques au profit de techniques qui detournent des outils legitimes deja presents sur les machines. On appelle ca le "Living off the Land" (vivre des ressources du terrain). Ici, le "terrain" c'est Microsoft Edge.

Pour les equipes de securite, ca complique serieusement le travail. Il ne suffit plus de bloquer les executables inconnus. Il faut maintenant surveiller les parametres de lancement des applications de confiance et detecter les configurations anormales, comme un Edge lance en mode headless avec le sandbox desactive.

Les organisations qui operent en zones de conflit ou qui travaillent avec des partenaires ukrainiens devraient porter une attention particuliere a cette menace. Verifier les processus Edge actifs, surveiller les fichiers dans le dossier Startup, et bloquer les connexions sortantes vers Pastefy depuis les postes de travail sont des mesures immediates qui peuvent limiter les degats.