De faux e-mails de la police ukrainienne propagent le nouveau malware CountLoader

Une nouvelle étude de l'entreprise de cybersécurité Silent Push révèle que les groupes de rançongiciels russes utilisent un nouveau type de programme malveillant, baptisé CountLoader. Il ne s'agit pas d'un simple malware, mais d'un chargeur de malware.

Cela signifie que sa fonction principale consiste à cibler un appareil et à installer d'autres programmes plus dangereux, notamment des rançongiciels. Il constitue en quelque sorte un point d'entrée clé pour les principaux groupes de cybercriminels comme LockBit , BlackBasta et Qilin , leur offrant l'accès initial nécessaire pour lancer leurs attaques.

Le chargeur de malware CountLoader est actuellement disponible en trois versions : .NET, PowerShell et JScript. L'analyse de Silent Push suggère que CountLoader est un outil utilisé soit par des courtiers d'accès initiaux (IAB, ou cybercriminels vendant l'accès aux réseaux compromis), soit par des affiliés aux groupes de rançongiciels eux-mêmes.

L'étude met en lumière une campagne récente où CountLoader a été utilisé dans des attaques d'hameçonnage visant des Ukrainiens. Les pirates se sont fait passer pour la police ukrainienne en utilisant un faux document PDF comme appât pour inciter les victimes à télécharger et exécuter CountLoader.

Dans le billet de blog partagé avec Hackread.com, Silent Push a noté que même si les chercheurs de Kaspersky et Cyfirma avaient repéré des campagnes similaires, ils n'avaient vu qu'une partie des opérations complètes du malware.

L'équipe de Kaspersky, par exemple, avait observé la version PowerShell en juin 2025, tandis que Cyfirma n'avait pas pu obtenir de détails sur le domaine C2 (commande et contrôle) : app-updaterapp .

L'étude de Silent Push a toutefois révélé une situation plus complète. « Notre équipe a identifié des indices de plusieurs autres campagnes uniques utilisant divers leurres et méthodes de ciblage », a déclaré l'entreprise.

Pour traquer le malware, les chercheurs ont développé une empreinte unique, une combinaison de détails techniques permettant d'identifier d'autres serveurs et domaines associés. À ce jour, ils ont identifié plus de 20 domaines uniques utilisés par CountLoader. Ils ont également relié le malware à des filigranes numériques spécifiques utilisés dans d'autres attaques, confirmant ainsi ses liens avec les groupes LockBit, BlackBasta et Qilin.

L'analyse de Silent Push a révélé des liens supplémentaires avec la cybercriminalité russe. Une version du logiciel malveillant utilise un agent utilisateur imitant le navigateur Yandex , un moteur de recherche populaire en Russie.

Ce détail, ainsi que le ciblage de citoyens ukrainiens, renforcent les soupçons selon lesquels des acteurs malveillants russophones seraient à l'origine de cette campagne. Cette nouvelle étude offre un aperçu approfondi de la manière dont les groupes de rançongiciels russes multiplient les tactiques pour pénétrer et compromettre les réseaux.