La campagne de XRed malware cible des multinationales
10 décembre 2025
Par Samantha Clarke, Hiwot Mendahun, Ankit Gupta et l'équipe de recherche sur les menaces de Mimecast
- Campagne de malware se faisant passer pour le ministère indien des Finances et l'administration fiscale
- Campagne à faible volume et ciblée de manière stratégique, portant principalement sur les secteurs des services financiers, des services professionnels et des services aux entreprises, et s'adressant à des entreprises britanniques et américaines disposant d'une entité en Inde
- Un script VBS télécharge et exécute une charge utile malveillante à partir d'une infrastructure compromise
- Les e-mails proviennent principalement d'ASN japonais utilisant des clients de messagerie obsolètes et des serveurs de messagerie non authentifiés
Présentation de la campagne
L'équipe de recherche sur les menaces de Mimecast a identifié une campagne de malware en cours qui utilise de fausses notes de service se présentant comme émanant du service des impôts sur le revenu du gouvernement indien. Les organisations visées comprennent principalement des filiales indiennes dont le siège social est situé au Royaume-Uni ou aux États-Unis. L'analyse révèle que les acteurs malveillants font preuve d'une grande sophistication dans le choix de leurs cibles, en se concentrant sur les moyennes et grandes entreprises (généralement comptant plus de 1 000 salariés) des secteurs B2B, notamment les services financiers, les services professionnels et l'administration d'entreprise.
En cours depuis octobre 2025, cette campagne recourt à des techniques d'ingénierie sociale visant à exploiter le sentiment d'urgence lié au respect des obligations fiscales et aux sanctions potentielles. Les destinataires reçoivent des e-mails contenant des liens leur permettant de consulter les différentes infractions fiscales commises par l'entreprise.
Principaux attributs des e-mails
- Infrastructure japonaise : les e-mails proviennent d'adresses IP associées à des numéros de système autonome japonais, ce qui laisse supposer que des systèmes ont été compromis ou que des choix d'infrastructure ont été délibérément opérés afin de contourner les contrôles de sécurité régionaux.
- Clients de messagerie obsolètes : les en-têtes des e-mails révèlent l'utilisation de Foxmail et de versions obsolètes de Microsoft Outlook (comme l'indiquent les valeurs « X-Mailer »), ce qui peut permettre de contourner les contrôles de sécurité modernes axés sur les modèles de menaces actuels.
- URL sans schéma : des liens malveillants apparaissent parfois sans respecter les schémas d'URL standard (absence de ", http://," ou ", https://,"), ce qui leur permet potentiellement de contourner les mécanismes de filtrage d'URL de base.
- Envoi sans authentification : les messages proviennent de serveurs de messagerie ne nécessitant aucune authentification, une caractéristique qui facilite l'usurpation d'identité mais offre également des possibilités de détection.
Dès que l'utilisateur clique sur le lien, il est redirigé vers la page suivante, qui imite les communications officielles du gouvernement.
Ces pages contiennent des textes en hindi et en anglais et font référence à l'article 271, paragraphe 1, point c), de la loi relative à l'impôt sur le revenu, qui traite des sanctions applicables en cas de dissimulation de revenus ou de communication d'informations inexactes. La notification exige la transmission de documents dans un délai de 72 heures et comporte un bouton « Télécharger les documents » ( ")" qui sert de vecteur d'infection initial.
Chaîne d'infection technique
Lorsque les victimes cliquent sur le bouton « Télécharger les documents » ( ")", elles téléchargent à leur insu un fichier VBS (Visual Basic Script) malveillant, généralement nommé « "Tax Penalty Notice.vbs »." Lorsqu'il est exécuté, ce script contacte un serveur distant et télécharge un fichier exécutable depuis un domaine suspect. D'après l'analyse de l'infrastructure de commande et de contrôle, l'une des campagnes observées semble être liée à la famille de malware Xred.
Lorsqu'un destinataire ouvre le fichier VBS malveillant, un avertissement de sécurité s'affiche pour lui demander s'il souhaite poursuivre l'ouverture du fichier ; s'il confirme, le script s'exécute automatiquement sans nécessiter d'intervention supplémentaire de sa part.
Le script tente tout d'abord de se relancer dans une fenêtre masquée afin d'éviter d'être détecté, garantissant ainsi que ses opérations restent invisibles pour l'utilisateur. Lors de son initialisation, le script crée un répertoire dans C:\SystemUpdates s'il n'existe pas encore. Toutes les actions suivantes sont consignées dans le fichier C:\SystemUpdates\update_log.txt, y compris les heures de début et de fin de l'exécution du script. Ce mécanisme de journalisation permet aux acteurs malveillants d'avoir une vue d'ensemble des infections réussies et peut les aider à résoudre les problèmes liés aux tentatives de déploiement ayant échoué.
Une fois son environnement d'exécution configuré, le script introduit un délai aléatoire compris entre 8 et 15 secondes. Ce délai constitue une technique anti-analyse, susceptible de permettre à la menace de contourner les environnements de sandbox automatisés qui s'attendent à observer un comportement malveillant immédiat dans des délais d'analyse très courts. À l'issue de la période de délai, le script crée et exécute une commande PowerShell destinée à télécharger un fichier exécutable depuis l'emplacement distant https://googlevip.shop/216.250.104.166ClientSetup[.]exe.
Le fichier téléchargé est enregistré localement sous le nom C:\SystemUpdates\216.250.104.166ClientSetup[.]exe. Si le téléchargement s'effectue correctement et que le fichier existe sur le système local, la commande PowerShell procède à l'exécution silencieuse de la charge utile, sans afficher de notification à l'utilisateur ni de boîte de dialogue de consentement. L'une des campagnes observées semble être liée au malware XRed, dont la fonction principale est celle d'un cheval de Troie de type « porte dérobée » ; une fois le système infecté, XRed peut mener de nombreuses activités malveillantes
- Exfiltration de données : cette technique consiste à collecter des informations sensibles sur le système (par exemple, nom d'utilisateur, adresse MAC, nom de l'ordinateur) et à les transmettre à l'attaquant.
- Enregistrement des frappes : ce logiciel enregistre les frappes au clavier afin de voler les identifiants d'accès aux comptes de messagerie, de réseaux sociaux, bancaires et de cryptomonnaies.
- Contrôle à distance : le pirate peut exécuter diverses commandes à distance, notamment prendre des captures d'écran, accéder à la ligne de commande, ainsi que répertorier, télécharger ou supprimer des fichiers.
- Persistance : il utilise des clés de registre et des répertoires cachés (tels que C:\ProgramData\Synaptics\) pour maintenir une présence persistante sur le système.
- Charges utiles supplémentaires : il peut télécharger et installer d'autres types de malware sur la machine compromise
Protection Mimecast
L'équipe de recherche sur les menaces de Mimecast a identifié plusieurs caractéristiques propres à cette campagne et les a intégrées à nos capacités de détection. Nous continuons à surveiller les changements au niveau des infrastructures et l'évolution des techniques, à mesure que les auteurs de menaces adaptent leurs opérations.
Objectifs
Région principale : l'Inde ou, principalement, des entreprises britanniques et américaines disposant d'une entité en Inde. Sélection non aléatoire, axée systématiquement sur les organisations de taille moyenne à grande (1 000 salariés et plus) opérant dans des environnements couvrant plusieurs juridictions.
Secteurs concernés : De nombreux secteurs sont concernés, avec une concentration particulièrement forte dans les services financiers, les services professionnels (comptabilité, droit, conseil), l'administration d'entreprise, la chaîne d'approvisionnement et la logistique, ainsi que dans le secteur manufacturier. Cette campagne s'adresse en priorité aux organisations axées sur le B2B, dotées d'écosystèmes de fournisseurs complexes et menant des activités transfrontalières.
Indicateurs de compromission (IOC)
Adresses e-mail des expéditeurs
- urabe@kcc.zaq.ne.jp
- hase.3@jcom.zaq.ne.jp
- akomai@jcom.zaq.ne.jp
- servant@jcom.zaq.ne.jp
- sho552004@jcom.zaq.ne.jp
Fichiers malveillants
- Hachage (lié à Xred) : 0447426535047cae9870c99e8b66d8030c9b1492856445ef630c9c07a3fb42da
- Hash : 5178a2e904e239eb02b836227e48c0a99b02031a91136395a6c70a81d0ef3ee1
Domaines malveillants
- googlevip[.]shop/
- dadasf[.]qpon/
- googleaxc[.]shop/
- googlem[.]com/
Recommandations
Sensibilisation des utilisateurs à la sécurité
- Sensibilisez les utilisateurs à la recrudescence des cas d'usurpation d'identité d'organismes publics, en soulignant que les autorités fiscales légitimes n'envoient généralement pas de demandes urgentes de paiement ou de documents par e-mail accompagnées de pièces jointes téléchargeables.
- Protocoles de vérification : Mettre en place des procédures claires permettant aux employés de vérifier les communications gouvernementales suspectes par les voies officielles avant de prendre toute mesure.
- Sensibilisation aux spécificités régionales : pour les organisations implantées en Inde, organisez des formations ciblées sur les méthodes de communication des autorités fiscales locales et les tactiques d'usurpation d'identité couramment utilisées. Les organisations correspondant au profil recherché (entreprises de taille moyenne à grande disposant de filiales indiennes dans les secteurs des services financiers ou des services professionnels) devraient accorder la priorité à la formation de sensibilisation destinée au personnel des services financiers et de conformité ayant accès aux activités des entités indiennes.
Recherche proactive des menaces
- Analyse des journaux de messagerie : effectuez une recherche dans les journaux de réception des e-mails afin d'identifier les messages provenant des domaines et adresses e-mail des expéditeurs identifiés, en particulier ceux adressés au personnel des services financiers, de la conformité ou des opérations chargé des entités indiennes.
- Analyse des journaux d'URL : recherchez dans les journaux d'URL les indicateurs techniques associés à ces campagnes
Les organisations opérant en Inde ou entretenant des relations commerciales avec ce pays doivent rester vigilantes face à des campagnes similaires et veiller à ce que leurs dispositifs de sécurité tiennent compte des menaces ciblées géographiquement, susceptibles de contourner les méthodes de détection non spécifiques à une région. Les organisations comptant plus de 1 000 salariés et disposant d'activités importantes en Inde sont exposées à un risque accru en raison des modes de ciblage mis en évidence par cette campagne.
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!