En bref

  • APT28 (Fancy Bear, GRU russe) déploie deux nouveaux malwares — BadPaw (loader .NET) et MeowMeow (backdoor) — contre des entités ukrainiennes
  • Cibles prioritaires : entités gouvernementales, militaires et industrielles ukrainiennes
  • Protections clés : bloquer LNK/HTA en entrée email, activer les règles ASR, surveiller les tâches planifiées (Event ID 4698)

Les faits

Des chercheurs de ClearSky Cyber Security ont divulgué en mars 2026 les détails techniques de deux familles de malwares inédites attribuées avec une confiance modérée au groupe APT28, connu également sous les noms Fancy Bear et Forest Blizzard, opérant pour le compte du GRU (renseignement militaire russe). Baptisés BadPaw et MeowMeow, ces outils ont été déployés contre des entités gouvernementales, militaires et industrielles ukrainiennes dans une campagne de spear-phishing sophistiquée exploitant des leurres documentaires thématiques. La chaîne d'attaque débute par un email contenant une archive ZIP ; à l'ouverture, une application HTML (HTA) affiche un document leurre en langue ukrainienne portant sur des formulaires de passage de frontière, pendant que BadPaw s'exécute silencieusement en arrière-plan. BadPaw intègre des vérifications anti-sandbox, extrait des payloads VBScript obfusqués dissimulés dans des images PNG par stéganographie, crée des tâches planifiées pour assurer sa persistance, puis télécharge et déploie MeowMeow depuis des serveurs C2 distants. MeowMeow supporte l'exécution de commandes PowerShell, des opérations sur le système de fichiers et une surveillance à long terme de la machine compromise. Des chaînes en langue russe ont été retrouvées dans le code source, renforçant l'attribution. La recherche ClearSky et The Hacker News détaillent les indicateurs de compromission disponibles.

  • Contexte et chronologie des événements
  • Impact sur l'écosystème cybersécurité
  • Leçons apprises et recommandations
  • Perspectives et évolutions attendues

Sur le plan des TTPs (Techniques, Tactiques et Procédures), la campagne s'inscrit dans la continuité des opérations APT28 depuis 2014, mais avec des outils entièrement réécrits pour échapper aux signatures existantes. L'usage de la stéganographie pour dissimuler des payloads dans des images PNG constitue une évolution notable contournant certains proxies d'inspection de contenu. La persistance via tâches planifiées Windows correspond à la technique T1053.005 du framework MITRE ATT&CK. MeowMeow adopte une architecture modulaire facilitant l'ajout de nouvelles capacités par les opérateurs. Le chevauchement d'infrastructure avec des campagnes APT28 antérieures et les leurres documentaires en ukrainien renforcent l'attribution au GRU russe.

Impact et exposition

La campagne BadPaw/MeowMeow cible en priorité les entités ukrainiennes, mais le contexte géopolitique implique un risque de contagion pour les organisations européennes et françaises en contact avec des partenaires ukrainiens ou des entités de défense. APT28 a historiquement ciblé des gouvernements de l'OTAN, des think tanks, des ONG et des médias. L'utilisation de nouveaux malwares non détectés par les signatures antivirus classiques augmente la probabilité d'intrusions non détectées dans les premières semaines. Consultez également notre analyse de la campagne CERT-FR sur les messageries détournées sans malware et de l'opération Handala wiper sur Stryker pour une vue d'ensemble des menaces APT actuelles.

Recommandations

  • Bloquer la réception et l'exécution de fichiers LNK, HTA et ZIP provenant de sources externes au niveau du gateway email
  • Activer les règles Microsoft Defender ASR bloquant l'exécution de scripts depuis des processus Office et HTA
  • Surveiller la création de tâches planifiées depuis des contextes non-administrateurs (Event ID 4698)
  • Détecter les processus PowerShell et WScript/CScript enfants de mshta.exe ou wscript.exe via EDR
  • Intégrer les IoCs APT28/BadPaw publiés par ClearSky et le CERT-UA dans le SIEM immédiatement

Comment détecter une infection par MeowMeow sur un poste Windows ?

Plusieurs indicateurs de compromission permettent de détecter MeowMeow : surveiller la création de tâches planifiées inhabituelles depuis des répertoires temporaires ou utilisateur (Event ID 4698), détecter des connexions sortantes vers des IP ou domaines non répertoriés dans la baseline réseau, et rechercher des processus PowerShell ou cmd.exe enfants d'applications HTA (mshta.exe). Une analyse de mémoire avec des outils comme Volatility peut révéler des injections de code typiques du loader BadPaw. Les règles Sigma et YARA associées ont été publiées par ClearSky et sont directement intégrables dans la plupart des SIEM du marché.

À retenir

  • APT28 déploie deux nouveaux malwares (BadPaw + MeowMeow) contre l'Ukraine via spear-phishing et stéganographie PNG
  • Chaîne d'attaque : archive ZIP → HTA leurre → BadPaw loader → tâches planifiées → MeowMeow backdoor PowerShell
  • IoCs disponibles auprès de ClearSky et CERT-UA — à intégrer immédiatement dans les systèmes de détection

Comment détecter une infection par BadPaw et MeowMeow sur mon réseau ?

La détection repose sur les indicateurs de compromission (IoCs) publiés : hachages des binaires, domaines C2 et adresses IP associées. Côté comportemental, surveiller les créations de tâches planifiées inhabituelles (Event ID 4698), les connexions PowerShell sortantes vers des destinations inconnues, et les accès aux dossiers système par des processus non légitimes. Les règles YARA et Sigma correspondant aux TTPs documentés doivent être déployées sur les EDR et SIEM en priorité.

Quelles sont les cibles prioritaires de ce groupe APT ?

Ce groupe cible principalement les entités gouvernementales, militaires et du secteur de la défense, ainsi que les infrastructures critiques. Les campagnes de spear-phishing utilisent des leurres documentaires thématiques adaptés à chaque cible. Les organisations de recherche, les médias et les ONG intervenant en zone de conflit sont également dans le périmètre opérationnel habituel de ce groupe APT.

Faut-il bloquer tous les fichiers HTA et LNK en entrée email ?

Oui — le blocage des extensions HTA, LNK, WSF et VBS en entrée email est une mesure fondamentale recommandée par l'ANSSI et le CERT-FR. Ces formats sont rarement légitimes dans des échanges professionnels et constituent des vecteurs d'exécution privilégiés pour les groupes APT. La règle doit être appliquée sur la passerelle email (SEG) et non uniquement côté antivirus endpoint.

Approfondir l'analyse des menaces APT

Article suivant recommandé

APT41 Silver Dragon : Espionnage via Google Drive C2 →

APT41 déploie Silver Dragon pour espionner des entités gouvernementales via le backdoor GearDoor utilisant Google Drive

Sources et références

Conclusion

Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.

Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.