Vue spectaculaire de deux moissonneuses-batteuses bleues éclairées par leurs phares, récoltant du grain dans un champ à la tombée de la nuit sous un ciel d'orage chargé de nuages sombres et de lueurs dorées.

Harvester : quand les hackers d’État utilisent Outlook pour piloter Linux (et commandent des pizzas)

/ Études Sécurité / 2 minutes de lecture
Le groupe d’espionnage Harvester (un nom qui évoque la « récolte » de données, et ils ne font pas semblant) vient de passer à la vitesse supérieure. Selon une étude de Symantec publiée cette semaine, ces attaquants (probablement soutenus par un État) ont déployé une version Linux de leur backdoor « GoGra ». Son génie ? Elle ne communique pas avec un serveur pirate louche, mais utilise tout simplement des boîtes mail Microsoft Outlook pour recevoir ses ordres.

Cette technique, dite de « Living off the Cloud », permet aux attaquants de se fondre dans le trafic Microsoft 365, rendant l’infection quasi invisible pour les outils de sécurité réseau classiques.

Un faux PDF qui cache un vrai binaire Linux

Tout commence par une ruse classique mais efficace : l’ingénierie sociale. Les victimes (principalement en Inde et en Afghanistan) reçoivent des fichiers binaires ELF déguisés en documents PDF. Un petit espace subtil est glissé entre le nom du fichier et l’extension .pdf pour tromper l’œil humain, tout en restant exécutable par le système Linux.

Une fois lancé, le malware s’installe discrètement via systemd et se fait passer pour un moniteur système légitime bien connu de la communauté Linux : Conky.

« Zomato Pizza » : le dossier Outlook de la discorde

C’est ici que l’attaque devient insolite. Pour communiquer avec ses créateurs, la backdoor utilise l’API Microsoft Graph et des identifiants Azure AD codés en dur. Elle va ensuite interroger toutes les deux secondes un dossier spécifique dans la boîte Outlook de la victime, nommé étrangement « Zomato Pizza » (du nom d’un service de livraison populaire… en Inde).

Le mode opératoire est millimétré :

  1. Réception : l’attaquant envoie un mail avec l’objet « Input ».

  2. Déchiffrement : le malware récupère le corps du mail (chiffré en AES-CBC), le décode et l’exécute nativement via /bin/bash.

  3. Exfiltration : le résultat de la commande est ré-encodé et renvoyé par mail avec l’objet « Output ».

  4. Nettoyage : une requête HTTP DELETE est envoyée pour effacer le mail de commande et ne laisser aucune trace forensique.

Une base de code commune avec Windows

Les chercheurs de Symantec (dont l’étude est résumée ici) ont noté que cette version Linux partage presque toutes ses caractéristiques avec la version Windows découverte en 2024. On y retrouve les mêmes clés de chiffrement et, détail amusant pour les analystes, les mêmes fautes d’orthographe dans le code, comme les fonctions nommées ExcuteCommand ou DeleteingMessage.

Cette expansion vers Linux montre que les groupes APT (Menaces Persistantes Avancées) ne se contentent plus du monde Windows et cherchent désormais à verrouiller toutes les infrastructures des secteurs critiques (télécoms, gouvernement, informatique).

Must Read

Retour en haut