Cette faille Windows est exploitée pour déployer la porte dérobée PipeMagic
Des chercheurs en cybersécurité alertent sur une campagne menée par un gang de cybercriminels, impliquant la porte dérobée PipeMagic et une faille Windows corrigée en avril 2025. Faisons le point.
Windows : une faille dans CLFS exploitée par les cybercriminels
Kaspersky et BI.ZONE ont publié un rapport conjoint révélant l’exploitation de la vulnérabilité CVE-2025-29824, une faille d’élévation de privilèges affectant le composant CLFS (Common Log File System) de Windows. Considérée comme importante, elle permet à un attaquant d'obtenir les privilèges SYSTEM sur une machine Windows. Microsoft avait corrigé cette vulnérabilité à l'occasion du Patch Tuesday d'avril 2025.
Il s'avère que cette vulnérabilité est exploitée dans le cadre d'attaques impliquant l'utilisation de PipeMagic, un framework exploité initialement par le gang de ransomware RansomExx. Désormais, c'est un groupe suivi sous le nom de Storm-2460 par Microsoft qui serait à l'origine de ces attaques.
De son côté, Kaspersky a repéré en 2025 des artefacts de loaders PipeMagic déguisés en application ChatGPT (comme pour une autre campagne menée en octobre 2024). Une constatation confirmée par les propos de Microsoft : "La première étape de l'exécution de l'infection par PipeMagic commence par un dropper en mémoire malveillant déguisé en projet d'application de bureau ChatGPT open source."
PipeMagic : une backdoor modulaire et sophistiquée
PipeMagic est décrit comme un framework modulaire, conçu pour être flexible et assurer une persistance sur la cible. Il se distingue par l’usage de canaux de communication via des "named pipes" : "Une caractéristique unique de PipeMagic est qu'il génère un tableau aléatoire de 16 octets utilisé pour créer un named pipe formaté comme suit : \.\Pipe\1.", expliquent les chercheurs en sécurité.
Ce mécanisme permet à la porte dérobée de transmettre des charges utiles chiffrées et des notifications de manière furtive. La flexibilité du malware se caractérise par l'utilisation de plugins, hébergés sur l’infrastructure cloud de Microsoft Azure. Au passage, le domaine utilisé sur Azure a été désactivé par Microsoft.
Parmi les composants identifiés de PipeMagic, il y a :
- Un module de communication asynchrone pour lire/écrire des fichiers et contrôler les opérations en cours
- Un loader pour injecter et exécuter des charges utiles en mémoire
- Un injector capable de lancer des exécutables C#
- Un module réseau pour la communication avec le serveur C2, l’exfiltration d’informations et la gestion granulaire des modules
Microsoft souligne que cette séparation des rôles en modules rend PipeMagic particulièrement furtif et difficile à analyser.
Les attaques de Storm-2460 sont menées à l'échelle mondiale, notamment en Europe, aux États-Unis, en Amérique du Sud et au Moyen-Orient. Les secteurs suivants sont les plus touchés : IT, financier, immobilier.
