Evolution of the PipeMagic backdoor: from the RansomExx incident to CVE-2025-29824

3 minute de lecture

Mis à jour : August 18, 2025

PipeMagic : L’Évolution d’une Porte Dérobée Persistante

Cette analyse retrace l’évolution de PipeMagic, une porte dérobée (backdoor) observée pour la première fois en décembre 2022, liée à des campagnes de ransomware RansomExx. Le malware a continué d’être utilisé dans des attaques ciblant des organisations en Arabie Saoudite en octobre 2024, puis au Brésil et en Arabie Saoudite en janvier 2025, démontrant une activité soutenue et un développement constant de ses fonctionnalités.

Points Clés et Vulnérabilités :

Origine et premières observations : Détecté en décembre 2022, PipeMagic a été utilisé lors d’une campagne contre des entreprises industrielles en Asie du Sud-Est, exploitant la vulnérabilité CVE-2017-0144. Il agissait comme une porte dérobée complète ou une passerelle réseau, permettant l’exécution de commandes diverses. Son chargeur initial était une version “trojanisée” de Rufus.
Tactiques de distribution évoluées :
- En octobre 2024, les attaquants ont utilisé une fausse application client ChatGPT, développée en Rust avec les frameworks Tauri et Tokio, comme vecteur d’infection. Cette application affichait un écran vide et exécutait un shellcode decrypté.
- En janvier 2025, plusieurs méthodes de chargement ont été observées :
  - Un fichier Microsoft Help Index File (metafile.mshi) contenant du code C# obfusqué et une chaîne hexadécimale longue, utilisé pour exécuter un shellcode via msbuild.exe.
  - Une nouvelle variante de la fausse application ChatGPT, structurellement et comportementalement similaire à celle de 2024.
  - Le détournement de DLL (googleupdate.dll) avec une bibliothèque malveillante placée aux côtés d’une application légitime (ex: mise à jour Google Chrome) pour exécuter le code malveillant via la fonction DllMain.
Communication et persistance : PipeMagic utilise des “named pipes” (tuyaux nommés) avec des noms générés aléatoirement pour la transmission de charges utiles et de notifications cryptées. Une adresse IP locale (127.0.0.1:8082) est utilisée pour interagir avec ces tuyaux. Les attaquants utilisent des domaines hébergés sur Microsoft Azure (aaaaabbbbbbb.eastus.cloudapp.azure[.]com) pour télécharger des modules supplémentaires.
Exploitation de la vulnérabilité CVE-2025-29824 : Les versions 2025 de PipeMagic sont directement liées à l’exploitation de la vulnérabilité CVE-2025-29824, une faille zero-day corrigée par Microsoft en avril 2025. Cette vulnérabilité a été la seule exploitée en conditions réelles au moment de la publication du correctif.
Modules additionnels : Trois modules supplémentaires ont été découverts en 2025, offrant des fonctionnalités telles que la communication asynchrone (gestion des opérations de fichiers), l’injection de charges utiles (y compris pour des exécutables 64 bits) et un injecteur capable de contourner l’AMSI (Antimalware Scan Interface) en patchant les fonctions AmsiScanString et AmsiScanBuffer.
Post-exploitation et mouvements latéraux : Les attaquants utilisent des outils comme ProcDump (renommé en dllhost.exe dans certains cas) pour extraire la mémoire du processus LSASS, permettant ainsi de voler des identifiants et de faciliter les mouvements latéraux au sein du réseau compromis. Cette technique est également mentionnée dans l’article de Microsoft concernant CVE-2025-29824.

Recommandations :

Bien que l’article ne détaille pas explicitement des recommandations, les actions suivantes sont implicitement suggérées par l’analyse :

Mise à jour des systèmes : Appliquer rapidement les correctifs de sécurité de Microsoft, notamment pour la vulnérabilité CVE-2025-29824 et toute autre faille critique.
Surveillance des communications réseau : Mettre en place une surveillance accrue des activités liées aux “named pipes” et des communications suspectes vers des adresses IP locales ou des domaines cloud inhabituels.
Analyse comportementale : Déployer des solutions de sécurité capables de détecter des comportements suspects tels que l’injection de code, le détournement de DLL et la manipulation de processus sensibles comme LSASS.
Vigilance face aux leurres : Éduquer les utilisateurs et mettre en place des mesures pour identifier les fausses applications ou les documents malveillants utilisés comme vecteurs d’infection initiaux.
Gestion des privilèges : Appliquer le principe du moindre privilège pour limiter l’impact d’une éventuelle compromission.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Evolution of the PipeMagic backdoor: from the RansomExx incident to CVE-2025-29824

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast