Schéma technique sur fond noir représentant un noyau planétaire rouge texturé. Autour de lui, deux trajectoires orbitales elliptiques sont dessinées : une ligne continue jaune et une ligne pointillée blanche. Des flèches indiquent un mouvement de rotation continu, symbolisant le détournement des flux d'exécution libc par le rootkit OrBit.

Le cauchemar OrBit : quand un malware en accès libre sur GitHub infecte les serveurs Linux du monde entier

/ À la une Sécurité / 4 minutes de lecture
C’est le secret le mieux gardé des cybercriminels, et il vient d’être exposé au grand jour. En juillet 2022, la découverte d’un mystérieux rootkit Linux baptisé OrBit avait fait trembler les experts en sécurité. À l’époque, son architecture ultra-sophistiquée laissait penser à une arme cyber conçue sur mesure par un groupe d’élite.

Erreur totale. Une enquête exclusive publiée ce mercredi 13 mai 2026 par les chercheurs d’Intezer révèle une réalité bien plus dérangeante : OrBit n’est autre qu’un habillage cosmétique autour de Medusa, un rootkit totalement open source disponible publiquement sur GitHub. En clair, n’importe quel pirate du dimanche peut cloner ce code, modifier trois lignes et s’offrir une clé passe-partout pour infiltrer les infrastructures cloud les plus sécurisées de la planète.

Comment OrBit prend le contrôle total d’un serveur

Pour comprendre l’effroi des administrateurs système, il faut plonger dans les entrailles du système. OrBit est un rootkit en espace utilisateur (userland) qui s’attaque directement à l’éditeur de liens dynamiques de Linux (ld.so). En modifiant ce composant central, le malware s’assure qu’une bibliothèque partagée malveillante (.so) est injectée de force dans chaque processus s’exécutant sur la machine.

Une fois installé, le rootkit intercepte plus de 40 fonctions libc fondamentales. Il devient alors un véritable fantôme informatique :

  • Il dissimule ses propres fichiers, processus et connexions réseau aux yeux des outils de sécurité.

  • Il capture passivement tous les mots de passe saisis lors des connexions SSH et des commandes sudo.

  • Il stocke ces identifiants volés dans un répertoire secret (comme /lib/libseconf/), rendu invisible aux analyses standards du système.

Une seule arme pour trois syndicats du crime

Puisque le code source de Medusa est en accès libre, l’analyse d’Intezer démontre qu’au moins trois groupes de hackers totalement indépendants ont récupéré la recette pour mener des attaques dévastatrices entre 2022 et 2026.

L’arbre généalogique du piratage d’OrBit (2022 – 2026)

  • Lignée A (Clé 0xAA) opérée par UNC3886 (Cyber-espionnage d’état) : cette variante a été déployée lors d’opérations d’infiltration ciblées visant les infrastructures critiques de VMware et Juniper. Sur le plan technique, elle se distingue par un algorithme de chiffrement spécifique et un masquage agressif de l’outil de diagnostic strace pour paralyser les investigations des défenseurs.

  • Lignée A (Clé 0xA2) opérée par BLOCKADE SPIDER (Cybercriminalité) : ce cluster a été massivement utilisé pour maintenir un accès persistant et furtif sur les serveurs VMware vCenter, pavant la voie au déploiement du rançongiciel Embargo. Cette mouture réutilise les identifiants codés en dur historiques adm1n observés dans le code depuis 2022.

  • Infecteur 2025 lié à l’écosystème RHOMBUS (Botnet) : une version hautement agressive spécialisée dans le détournement de serveurs VPS et d’objets connectés (IoT) pour mener des attaques DDoS de grande envergure. Sa rupture technique majeure réside dans l’intégration d’une première liaison active de commande et contrôle (C2) vers des serveurs basés en Russie, brisant le mode de fonctionnement purement passif des itérations précédentes.

De l’espionnage passif au sabotage en temps réel

Au fil des ans, les différents groupes ont activé des options avancées dormantes dans le code source d’origine. En 2023, une fonction xread a été déployée pour éviter que le rootkit ne corrompe les flux de protocoles légitimes (comme Git), ce qui aurait pu trahir sa présence. En 2024, le groupe d’espionnage étatique UNC3886 a introduit des techniques d’évasion spécifiques pour aveugler le démon de sécurité auditd.

Le cap le plus inquiétant a été franchi fin 2025. Une variante avancée a intégré un hook pour la fonction pam_sm_authenticate. Désormais, le rootkit ne se contente plus de voler les mots de passe des administrateurs : il peut falsifier les résultats d’authentification, permettant aux attaquants d’approuver ou de refuser n’importe quelle tentative de connexion sur le serveur à leur guise.

La mutation actuelle : le ver autonome

L’analyse d’Intezer met en garde contre une évolution majeure apparue l’année dernière. Historiquement, OrBit était un implant passif : le pirate devait se connecter lui-même via un accès dérobé. Désormais, le malware utilise une architecture d’infecteur en deux étapes.

Il se propage activement en injectant une charge virale dans les fichiers exécutables du système (comme /bin/ls) en utilisant une signature numérique interne (bongripz4jezuz). Une tâche planifiée (cron) interroge ensuite toutes les heures un serveur de commande et contrôle externe (cf0[.]pw), dont l’infrastructure est localisée en Russie, pour récupérer des mises à jour.

Pour les défenseurs, la traque s’annonce complexe, car la signature d’un fichier ne suffit plus pour identifier l’attaquant. Intezer recommande de surveiller de près l’apparition d’artefacts persistants hérités de la structure Medusa, tels que les fichiers dissimulés sshpass.txt, .logpam ou .ports.

Le grand livre de l’open source vient de rappeler une dure réalité : les outils de recherche les plus pointus sont souvent les meilleures armes des cybercriminels.

Must Read

Retour en haut