Pourquoi les attaques basées sur LNK parviennent-elles encore à passer inaperçues ?
Fin 2025, Arctic Wolf Labs a publié une étude sur une campagne d'espionnage visant des entités diplomatiques en Belgique, en Hongrie et dans d'autres pays européens. L'acteur malveillant, un groupe lié à la Chine identifié sous le nom d'UNC6384, a utilisé des e-mails de spearphishing pour diffuser des raccourcis Windows malveillants, ou fichiers LNK, présentant comme thème des réunions légitimes de la Commission européenne et des ateliers liés à l'OTAN.
Lorsqu'un destinataire cliquait sur le raccourci, une commande PowerShell cachée déclenchait une chaîne d'infection en plusieurs étapes qui aboutissait à l'installation du cheval de Troie d'accès à distance PlugX. La campagne exploitait la faille ZDI-CAN-25373, une vulnérabilité des raccourcis Windows révélée en mars 2025 qui permet l'exécution clandestine de commandes en les dissimulant derrière des espaces de remplissage dans les arguments de ligne de commande d'un fichier LNK.
L'utilisation de ce fichier par UNC6384 a mis en évidence un problème plus général : les fichiers de raccourci continuent d'apparaître comme banals aux yeux des utilisateurs et font souvent l'objet d'une attention moindre que les exécutables ou les documents contenant des macros. Une fois qu'un fichier LNK malveillant est exécuté, les activités les plus dangereuses se déroulent souvent au moment de l'exécution, par le biais de scripts codés, d'archives déployées progressivement et d'abus de binaires signés, domaines dans lesquels l'analyse statique et les vérifications de réputation peinent à suivre le rythme.
Depuis, la campagne n'a cessé d'évoluer. En avril 2026, The Hacker News a rapporté que ce même groupe de cybercriminels, connu dans le secteur sous le nom de TA416, avait recommencé à cibler des organismes gouvernementaux et diplomatiques européens à partir de la mi-2025, en recourant à de nouvelles méthodes de diffusion, notamment l'exploitation abusive des redirections OAuth, les pages de vérification d'identité Cloudflare Turnstile et l'exécution via MSBuild, tout en continuant à mettre à jour sa charge utile PlugX.
L'étude d'Arctic Wolf analysée dans cet article rend compte d'une étape d'une opération désormais documentée et toujours en cours, et montre comment MetaDefender et la technologie Deep CDR™ comblent ensemble le fossé entre la détection et la prévention.
La chaîne d'attaques de l'UNC6384
Tout a commencé par un fichier que la plupart des utilisateurs n'auraient jamais remis en question. Le fichier LNK diffusé dans le cadre de cette campagne, intitulé « Agenda_Meeting 26 Sep Brussels.lnk », ne pesait que 2,58 Ko et faisait référence à une véritable réunion de la Commission européenne consacrée à la facilitation de la libre circulation des marchandises aux points de passage frontaliers entre l'UE et les Balkans occidentaux. Il s'agissait de l'ordre du jour réel d'un événement réel, avec un raccourci qui semblait tout à fait banal.
Étape 1 : Accès initial via un fichier LNK malveillant
Lorsque le destinataire a double-cliqué sur le raccourci, cela a lancé PowerShell en arrière-plan avec une commande obscurcie qui a décodé et extrait une archive tar (rjnlzlkfe.ta) dans le répertoire Temp local de l'utilisateur. La commande PowerShell a ensuite utilisé tar.exe pour décompresser l'archive et en lancer le contenu, tout en ouvrant simultanément un fichier PDF leurre affichant l'ordre du jour réel de la réunion. La victime a vu un document. L'attaquant a obtenu l'exécution de code.
Étape 2 : chargement latéral d'une DLL via un binaire légitime et signé
L'archive extraite contenait trois fichiers : cnmpaui.exe, cnmpaui.dll et cnmplog.dat. Le premier est un utilitaire d'assistance pour imprimantes Canon tout à fait légitime, signé numériquement par Canon Inc. à l'aide d'un certificat délivré par Symantec. La signature est valide car elle a été horodatée alors que le certificat était encore en vigueur, ce qui signifie que Windows continue de faire confiance au fichier binaire même si le certificat lui-même a expiré en 2018 (Arctic Wolf).
C'est là que la précision fait toute la différence. Le fichier EXE n'est pas malveillant. Il s'agit d'un véritable utilitaire Canon détourné à des fins spécifiques : lorsque cnmpaui.exe s'exécute, il recherche cnmpaui.dll dans son propre répertoire avant de vérifier les chemins d'accès système. En plaçant une DLL malveillante portant le même nom à côté du fichier binaire légitime, UNC6384 a détourné cet ordre de recherche et chargé son propre code au sein d'un processus de confiance.
Étape 3 : Décryptage de la charge utile et exécution de PlugX
Le fichier malveillant cnmpaui.dll est un chargeur léger, ne pesant que 4 Ko dans la variante d'octobre 2025, conçu pour une seule chose : déchiffrer et exécuter le troisième fichier, cnmplog.dat. Ce fichier est un blob chiffré en RC4 contenant le cheval de Troie d'accès à distance PlugX. Le chargeur le déchiffre à l'aide d'une clé de 16 octets codée en dur et mappe la charge utile obtenue directement dans l'espace mémoire du processus légitime cnmpaui.exe.
À partir de ce moment-là, PlugX s'exécute au sein d'un fichier binaire signé et de confiance. Il assure sa persistance via une clé de registre Run nommée « CanonPrinter », crée des répertoires cachés portant des noms tels que « SamsungDriver » ou « DellSetupFiles » pour se fondre dans l'environnement, et communique avec l'infrastructure de commande et de contrôle via HTTPS sur le port 443, en utilisant des chemins d'URL aléatoires et une chaîne d'agent utilisateur Internet Explorer usurpée afin de se fondre dans le trafic Web normal.
Du premier clic à la porte dérobée active, aucun élément de cette chaîne ne semblait manifestement malveillant à première vue, et la plupart des comportements réellement suspects n'apparaissaient qu'au moment de l'exécution. Chaque étape était conçue pour passer inaperçue lors d'une analyse statique et pour s'exécuter là où les filtres traditionnels ne cherchaient pas.
Pourquoi les défenses statiques ont du mal à contrer cette chaîne
Les défenses statiques peinent à contrer cette chaîne d'attaques, car chaque étape est conçue pour paraître inoffensive prise isolément. Ce qui rend cette campagne efficace, ce n'est pas un fichier manifestement malveillant, mais une succession d'éléments d'apparence fiable dont la véritable intention ne se révèle qu'au moment de l'exécution. Ce schéma ne se limite pas aux fichiers de raccourci : les pirates ont également dissimulé des charges utiles dans des fichiers image en apparence inoffensifs et les ont associés à un système de diffusion basé sur des fichiers LNK afin de contourner la détection des antivirus traditionnels.
Pourquoi les défenses statiques ont du mal à contrer cette chaîne
| Scène | Ce que voit le défenseur | Pourquoi il passe le contrôle technique |
|---|---|---|
| Fichier LNK malveillant | Un fichier de raccourci de 2,58 Ko faisant référence à une réunion diplomatique | Les fichiers LNK sont par défaut à faible risque ; ZDI-CAN-25373 dissimule la commande PowerShell derrière des espaces de remplissage que la plupart des analyseurs de métadonnées ne traitent pas. |
| Signé Canon EXE | Un fichier binaire PE32 authentique, muni d'une signature numérique valide et horodatée provenant d'un éditeur reconnu | Le bloquer entraînerait le signalement de tous les environnements exécutant le logiciel d'impression Canon. Les moteurs de réputation n'ont aucune raison de s'en méfier. |
| DLL de chargement de 4 Ko | Une DLL minimaliste, ne comportant aucune importation manifestement suspecte, dont la seule fonction est de lire, de déchiffrer et de transférer l'exécution | Les règles YARA permettent de détecter les variantes connues, mais un chargeur recompilé utilisant une clé ou une routine de déchiffrement différente échappe à la couverture statique. |
| Charge utile PlugX chiffrée | Un bloc de données .dat opaque qui n'est jamais stocké sur le disque sous forme déchiffrée | L'analyse basée sur les fichiers n'examine jamais le logiciel malveillant lui-même. La charge utile se charge directement dans l'espace mémoire du processus Canon de confiance. |
C'est précisément dans ce fossé entre ce que les outils statiques peuvent analyser et ce qui se passe réellement lors de l'exécution que les campagnes d'évasion prospèrent. Pour le combler, il faut une approche de détection capable d'observer l'intégralité du chemin d'exécution, depuis le lancement initial du fichier jusqu'à chaque étape suivante, et de rendre un verdict fondé sur le comportement plutôt que sur l'apparence.
Comment MetaDefender met en lumière l'ensemble de la chaîne
MetaDefender est la solution unifiée de détection des menaces « zero-day » OPSWAT, qui combine quatre niveaux d'analyse pour examiner chaque fichier sous différents angles avant de rendre un verdict fiable unique.
- L'évaluation de la réputation des menaces compare les hachages, les métadonnées et les indicateurs intégrés du fichier à une base de données mondiale regroupant plus de 50 milliards d'indicateurs. Ce processus permet d'identifier les éléments déjà connus et d'apporter un contexte à ceux qui ne le sont pas.
- Adaptive exécute ensuite le fichier dans un environnement émulé et observe le déroulement de l'exécution : le fichier LNK lançant PowerShell, la commande codée décompressant une archive tar, le binaire Canon signé chargeant une DLL non signée, et la charge utile PlugX déchiffrée établissant une persistance et communiquant avec l'infrastructure C2 (commande et contrôle).
- L'évaluation des menaces combine ces résultats, les signaux de réputation et les indicateurs extraits pour obtenir un score de risque pondéré qui tient compte de l'ensemble du contexte comportemental.
- La recherche de similitudes basée sur le machine learning compare le fichier et son comportement à ceux de familles de logiciels malveillants connues et à des activités associées, ce qui permet de mettre en évidence des liens avec des variantes de PlugX ou des campagnes similaires de sideloading de DLL.
Ensemble, ce pipeline offre une efficacité de détection des vulnérabilités « zero-day » pouvant atteindre 99,9 % et fournit un verdict unique et fiable pour chaque fichier, évitant ainsi aux analystes du SOC d'avoir à recouper manuellement des rapports distincts. Cela revêt une importance particulière lorsque les équipes doivent trier des centaines de fichiers par jour provenant de divers canaux : messagerie électronique, MFT, ICAP, bornes interactives, systèmes de stockage et flux de travail interdomaines.
L'un des principaux atouts de cette chaîne réside dans l'émulation au niveau des instructions. Les sandbox traditionnelles basées sur une machine virtuelle peuvent passer à côté de logiciels malveillants qui recourent à des techniques d'évasion anti-VM, à des retards de synchronisation et à des vérifications d'environnement pour empêcher leur exécution complète. Le sandboxing adaptatif MetaDefender émule le comportement du processeur et du système d'exploitation au niveau des instructions, ce qui permet de mettre en évidence l'intégralité de la séquence de sideloading allant du fichier LNK à PowerShell, puis à la DLL.
Pour les équipes SOC, les avantages sont concrets :
- Un triage plus rapide, car le verdict est déjà corrélé et cartographié selon la nomenclature MITRE
- Des décisions de blocage plus rigoureuses, car le verdict tient compte du comportement en exécution plutôt que de la seule réputation statique
- Réduction du nombre de faux positifs, car MetaDefender est capable de faire la distinction entre un fichier binaire légitime et signé utilisé à des fins malveillantes et une charge utile véritablement malveillante
- Une meilleure préparation aux attaques « zero-day » au niveau des points d'entrée des fichiers par lesquels ces attaques pénètrent dans l'environnement
Comment la technologie Deep CDR™ neutralise le déclencheur
La technologie Deep CDR™ met fin à cette chaîne avant même qu'elle ne se déclenche, en neutralisant le fichier qui est à l'origine de tout. Alors que MetaDefender révèle ce que fait un fichier malveillant lors de son exécution, la technologie Deep CDR™ permet de s'assurer que ce fichier n'ait jamais la possibilité de s'exécuter.
Ce mécanisme est propre au fonctionnement des attaques basées sur LNK. Un raccourci piraté dissimule son intention malveillante dans des arguments de ligne de commande intégrés, en l'occurrence l'invocation PowerShell codée qui décompresse l'archive tar et lance la chaîne de charge utile. La technologie Deep CDR™ identifie cette commande intégrée et la remplace par une commande factice inoffensive, préservant ainsi le raccourci sous une forme assainie tout en supprimant sa capacité à servir de déclencheur d'attaque.
Il en résulte un flux de travail LNK sécurisé dans lequel le comportement malveillant d'origine est neutralisé avant l'exécution. Pas d'exécution de PowerShell, pas d'extraction d'archive, pas de chargement latéral de DLL, pas de PlugX. Associés, MetaDefender et la technologie Deep CDR™ forment un modèle de défense à deux niveaux.
Modèle de défense à deux niveaux
| Couche | Technologie | Rôle |
|---|---|---|
| Détecter et comprendre | MetaDefender | Il exécute le fichier, met en évidence l'ensemble du chemin d'exécution en plusieurs étapes, extrait les indicateurs de comportement (IOC) et renvoie un verdict unique fiable. |
| Désamorcer et prévenir | Technologie Deep CDR™ | Neutralise la commande LNK malveillante, empêchant ainsi le raccourci de s'exécuter. |
Cette distinction revêt une importance pratique. MetaDefender est la solution de détection des menaces « zero-day » destinée aux fichiers nécessitant une analyse approfondie, notamment lorsqu’il s’agit de comprendre leur comportement en exécution et de rendre un verdict fiable. La technologie Deep CDR™ assure la neutralisation et la prévention pour les fichiers dont le contenu peut être désamorcé en toute sécurité sans entraver leur utilisation légitime. Ensemble, ces deux solutions abordent les deux facettes du problème : comprendre ce que fait une menace et veiller à ce qu’elle n’ait jamais l’occasion de frapper.
Pourquoi la précision est-elle importante ?
La précision est essentielle, car tous les fichiers d'une chaîne d'attaque ne sont pas nécessairement malveillants, et les traiter tous de la même manière conduit à une détection trop large qui sape la confiance dans vos outils. Cette campagne le montre clairement.
L'utilitaire signé de l'imprimante Canon (cnmpaui.exe) est un fichier binaire légitime. Il dispose d'une signature numérique valide, d'une réputation irréprochable et d'un hachage associé à un logiciel légitime. Le signaler comme malveillant entraînerait des faux positifs dans les environnements où le logiciel de l'imprimante Canon est installé, et inciterait les analystes du centre d'opérations de sécurité (SOC) à se méfier des alertes qu'ils reçoivent.
Les principaux indicateurs de compromission (IOC) sont la DLL malveillante (cnmpaui.dll) et la chaîne de comportements qu'elle déclenche :
- Chargement latéral et décryptage d'une charge utile cryptée à l'aide d'une clé RC4 codée en dur
- Mappage du fichier binaire PlugX déchiffré dans l'espace mémoire d'un processus de confiance
- Configurer la persistance à l'aide d'une clé d'exécution « CanonPrinter »
- Lancement d'un trafic C2 HTTPS avec des chemins d'URL aléatoires et une chaîne User-Agent falsifiée
Ce sont là les signaux les plus importants, et ils n'apparaissent que lorsqu'un outil de détection est capable d'observer le comportement et de faire la distinction entre un fichier binaire de confiance utilisé à mauvais escient et un élément véritablement malveillant.
C'est là que le verdict unique et fiable MetaDefender prend toute sa valeur. Plutôt que d'attribuer systématiquement la mention « malveillant » à tous les fichiers de la chaîne, le pipeline de détection attribue une note à chaque composant en fonction de son comportement observé dans le contexte d'exécution global.
Le fichier EXE signé est identifié comme un binaire légitime utilisé pour le sideloading. La DLL et le comportement d'exécution qu'elle génère sont signalés comme constituant la véritable menace. Cette distinction permet aux équipes de sécurité d'avoir une vision plus claire de la situation et réduit le travail manuel nécessaire pour distinguer le signal du bruit.
La détection statique de cette DLL malveillante peut également être renforcée à l'aide de règles ciblées telles que YARA ; les signatures YARA publiées par Arctic Wolf pour le chargeur CanonStager constituent un bon point de départ. Cependant, la couverture par signatures est, par nature, réactive. Dans une chaîne comme celle-ci, ce qui fait vraiment la différence, c'est la visibilité sur le comportement associée à la neutralisation des fichiers.
Utilisation d'une sécurité des fichiers à plusieurs niveaux pour mettre au jour les chaînes d'attaques basées sur les fichiers LNK
Les attaques basées sur les fichiers LNK continuent de fonctionner car elles s'appuient sur un type de fichier que les utilisateurs voient tous les jours et qu'ils considèrent rarement comme dangereux. Dans un article précédent, nous avons souligné que les fichiers LNK sont de simples raccourcis Windows que les pirates peuvent détourner en y dissimulant des commandes PowerShell ou cmd.exe, parfois d’une manière qui semble inoffensive jusqu’à ce que le fichier soit effectivement ouvert. C’est exactement la raison pour laquelle des campagnes comme celle d’UNC6384 continuent de porter leurs fruits : le raccourci semble familier, mais le comportement qu’il déclenche ne l’est pas du tout.
Cette tendance s'est confirmée au fil de nombreuses campagnes. Dans notre analyse consacrée à Emotet, nous avons expliqué pourquoi les fichiers de raccourcis étaient difficiles à distinguer des documents normaux, et que leur extension n'apparaissait pas par défaut sous Windows. Cela les rendait particulièrement efficaces comme vecteurs de propagation. La leçon à en tirer est la même ici : les pirates n'ont pas besoin d'une toute nouvelle astuce lorsqu'un type de fichier familier peut encore s'immiscer dans les flux de travail quotidiens et déclencher une chaîne d'infection en plusieurs étapes.
La solution ne consiste pas à qualifier de malveillant chaque fichier de la chaîne. Il s'agit plutôt de mettre en place une sécurité des fichiers à plusieurs niveaux, capable de mettre en évidence le comportement d'exécution, de faire la distinction entre un binaire légitime utilisé à des fins malveillantes et une charge utile malveillante, et de bloquer le déclencheur avant qu'il ne se déclenche. Discutez avec un OPSWAT pour découvrir comment MetaDefender et la technologie Deep CDR™ peuvent aider votre équipe à détecter, analyser et prévenir les attaques basées sur des fichiers LNK.
