Une enquête de Check Point Research dévoile les rouages du malware PureHVNC et l’identité numérique de son développeur, PureCoder. Exploitée dans des campagnes d’hameçonnage ciblé, cette suite malveillante démontre un niveau élevé d’industrialisation, reposant sur un écosystème de plugins, d’obfuscateurs et de canaux de distribution sophistiqués.
La famille de maliciels « Pure » se distingue par sa cohérence technique, son niveau d’obfuscation élevé et sa modularité. Développée et commercialisée par un auteur unique, connu sous le pseudonyme de PureCoder, elle combine plusieurs outils spécialisés : un RAT (outil d’administration à distance), un crypteur, un stealer, un mineur et un framework de type botnet. L’enquête de Check Point Research, centrée sur une intrusion de huit jours via la technique ClickFix, a permis d’analyser en profondeur ces outils, et, fait rare, de remonter jusqu’aux dépôts GitHub utilisés directement par le développeur pour distribuer ses modules.
L’attaque analysée par Check Point débute par une page web frauduleuse diffusant de fausses offres d’emploi. Cette dernière exploite la technique ClickFix : un leurre incitant l’utilisateur à coller un script PowerShell prérempli, déclenchant le téléchargement d’un fichier JavaScript malveillant. Ce script installe un RAT furtif — PureHVNC, dans une première version, suivie d’une seconde, plus camouflée, intégrée à un loader écrit en Rust et empaquetée avec Inno Setup. La campagne utilise notamment des identifiants comme « 2a » et « amazon3 » pour tracer ses déploiements.
La charge malveillante bénéficie de multiples couches de chiffrement, de techniques anti-analyse avancées et de mécanismes de persistance déguisés en tâches planifiées de type « GoogleUpdater ». L’attaque culmine avec l’implantation du framework de commande Sliver, qui récupère les identifiants de l’utilisateur via une invite déguisée.
Un outil RAT furtif doté de 35 plugins spécialisés
Au cœur de l’attaque, le maliciel PureHVNC se distingue par ses capacités de contrôle caché (Hidden VNC), sans trace visible à l’écran pour la victime. Sa structure repose sur un système de configuration protobuffé et encodé, un chiffrement ChaCha20, et une exécution conditionnelle déclenchée uniquement dans un environnement réel. L’analyse révèle l’existence de 35 plugins actifs, chacun spécialisé : gestionnaire de fichiers, prise de contrôle de la caméra ou du micro, visualisation des processus, contrôle des fenêtres actives, capture de frappe, ou encore exfiltration ciblée de portefeuilles cryptographiques.
Parmi les modules les plus inquiétants figurent Clipper, qui intercepte les adresses de portefeuilles pour les remplacer par celles de l’attaquant, RevProxy pour des connexions inversées HTTP ou SOCKS5, et des bots capables d’agir sur Twitch et YouTube (suivi, clics sur publicités, messages automatisés). Un système de surveillance contextuelle peut alerter l’opérateur dès qu’une fenêtre ciblée est ouverte.
Une infrastructure reliée à GitHub et pilotée par le développeur
Au fil de l’analyse, les chercheurs ont identifié une infrastructure inhabituelle : plusieurs modules complémentaires, appelés depuis les machines compromises, sont hébergés sur des comptes GitHub rattachés directement à PureCoder. Ces comptes utilisent des noms masqués (DFfe9ewf, testdemo 345), mais dont les historiques de commits, les fuseaux horaires (UTC+0300) et les contenus (WebDriver.dll, chromedriver.exe, etc.) permettent une attribution claire. Cette découverte contourne les proxys habituels entre les attaquants finaux et les développeurs d’outils malveillants.
Pire encore, l’analyse d’un panneau d’administration de PureRAT montre que certaines URL GitHub sont codées en dur dans l’outil lui-même. Cela indique que la logique de téléchargement de plugins ne dépend pas du cybercriminel exploitant l’outil, mais bien du développeur initial. Ce schéma rappelle le modèle SaaS, appliqué à des outils de cybercriminalité industrialisée.
Vers une cartographie complète des capacités et des intentions
En étendant l’analyse au PureBuilder et à PureCrypter, Check Point a pu identifier les paramètres proposés aux clients de PureCoder : extensions de fichiers déguisés (.vbs, .iso, .setup), fausses applications de minage, modes d’injection (RunPE, Shellcode…), et options de persistance (registre, tâche planifiée, dossier de démarrage). Cette modularité témoigne d’une approche produit maîtrisée et d’un souci d’adaptabilité aux scénarios d’attaque les plus variés.
Les informations techniques dévoilées dans cette publication offrent ainsi une opportunité rare de remonter la chaîne de développement d’un écosystème maliciel complet, en croisant les traces numériques laissées par PureCoder avec les artefacts déployés sur le terrain. Pour les entreprises, cela souligne l’importance de détecter non seulement les charges utiles, mais aussi les infrastructures de second niveau — souvent négligées — qui assurent la continuité des opérations des acteurs malveillants.
