Des emojis sur Discord pour piloter un nouveau malware Linux

Bleeping Computer a révélé, le 15 juin 2024, une campagne de cyberattaques contre des institutions gouvernementales en Inde, s’appuyant sur un nouveau malware pour Linux, « Disgomoji ». Découvert par la société de cybersécurité Volexity, ce logiciel malveillant se distingue par sa méthode de commande à partir d’emojis sur un canal Discord. 

Les chercheurs en sécurité ont attribué cette campagne à UTA0137, un groupe cybercriminel affilié au Pakistan. « Disgomoji » cible en effet spécifiquement la distribution Linux Boss, le système d’exploitation du gouvernement indien et de ses agences.

« Volexity estime avec une grande confiance qu’UTA0137 a des objectifs d’espionnage et qu’il a pour mission de cibler des entités gouvernementales en Inde. D’après l’analyse de Volexity, les campagnes d’UTA0137 semblent avoir été couronnées de succès », lit-on de la rapport de la société de cybersécurité.

« Disgomoji » est une porte dérobée classique, distribuée dans une archive en .zip via des attaques par phishing. Le logiciel malveillant permet « de réaliser des captures d’écran, de voler des fichiers, de déployer des charges utiles supplémentaires et de rechercher des fichiers ».

Son originalité réside dans sa plateforme de commande et de contrôle. Pour agir sur la machine infectée, les cybercriminels doivent effet publier un emoji spécifique sur un canal Discord dédié. Selon Volexity, cette technique pourrait viser à contourner les logiciels de sécurité qui recherchent des commandes textuelles.

Publier l’icône « Appareil photo » déclenche par exemple une capture d’écran, un index pointé dans une direction suivi du nom d’un fichier permet de le télécharger. L’emoji « Feu » lance l’exfiltration de tous les fichiers disposant d’une extension donnée, le renard zippe tous les profils Firefox de la machine, et le crâne désinstalle le malware.