D’abord repéré dans une campagne RansomExx, PipeMagic continue de circuler trois ans plus tard. Toujours actif en 2025, ce malware modulaire exploite désormais une faille zero-day fraîchement corrigée par Microsoft.
- Découvert en 2022 via une version compromise de Rufus, PipeMagic est une backdoor modulable persistante ciblant les entreprises.
- Après une réapparition en 2024 via une fausse app ChatGPT, il a exploité la faille CVE-2025-29824 début 2025 pour voler des identifiants, notamment.
- Microsoft a corrigé la faille, mais il faut patcher vos systèmes, surveiller les processus suspects et utiliser des solutions EDR compatibles AMSI.
L’histoire commence en 2022, avec l’apparition discrète d’une backdoor baptisée PipeMagic, utilisé pour infecter des entreprises via une version trojanisée de Rufus. Depuis, le malware a changé de visage, élargi son arsenal, mais pas ses ambitions. Détecté à nouveau en 2024, puis dans une série d’attaques début 2025, il a cette fois profité d’une faille Windows sévère (CVE-2025-29824 ; CVSS 7.8) pour revenir sur le devant de la scène, mêlant techniques d’infection variées, charge utile persistante et modules spécialisés pour le vol de fichiers ou l’exécution de code distant. Si Microsoft a depuis colmaté la brèche, les méthodes d’intrusion employées, elles, méritent toute votre attention.
PipeMagic, une menace discrète mais tenace
Repéré pour la première fois en 2022, PipeMagic n’a cessé de réapparaître depuis, sans jamais changer fondamentalement de logique. En 2024, il se diffusait via un faux client ChatGPT développé en Rust. L’application affichait un écran vide, mais exécutait en arrière-plan du code chiffré, capable de récupérer des modules malveillants depuis un domaine hébergé sur Azure. En janvier 2025, de nouvelles infections ont été observées au Moyen-Orient et au Brésil. Cette fois, le malware circulait sous forme de fichiers d’aide Windows piégés (.mshi) et de DLL malveillantes chargées via des exécutables légitimes comme GoogleUpdate.
Le malware repose sur un canal de communication interne utilisé par les programmes pour échanger des données sur la même machine, sans passer par Internet, couplé à une interface réseau locale pour centraliser les échanges. Une fois le payload exécuté, il agit comme une porte dérobée capable de charger des modules additionnels selon les besoins des attaquants. Certains servent à manipuler ou extraire des fichiers, d’autres à exécuter du code malveillant directement en mémoire, à contourner les antivirus en désactivant les protections de Windows (notamment AMSI, censé détecter les scripts suspects), ou encore à voler les identifiants de connexion en copiant le contenu de LSASS, processus critique contenant en mémoire les identifiants utilisés pour l’authentification dans Windows.
C’est précisément ce dernier point qui a permis de relier PipeMagic à la faille CVE-2025-29824 corrigée par Microsoft en avril dernier. Dans les incidents observés, les opérateurs ont utilisé ProcDump – outil classiquement détourné dans ce type d’attaque et renommé en dllhost.exe pour masquer son utilisation – de manière à extraire les identifiants contenus dans la mémoire vive. Cette méthode, documentée par Microsoft dans son propre bulletin de sécurité, permet aux attaquants d’extraire les identifiants d’un système compromis pour ensuite se déplacer latéralement dans le réseau et maintenir leur accès dans les environnements ciblés.
Comment se protéger face à cette menace encore active
Bien que la faille CVE-2025-29824 ait été patchée, les opérateurs de PipeMagic exploitent plusieurs vecteurs pour s’introduire dans les systèmes. La vigilance reste donc de mise, en particulier face aux méthodes d’ingénierie sociale et aux fichiers déguisés. L’usage d’applications factices (comme le faux ChatGPT) ou de fichiers d’apparence légitime (fichiers d’aide Windows, DLL) exige une attention renforcée, notamment en environnement professionnel.
Pour se prémunir contre ce type d’attaque, plusieurs mesures s’imposent. D’abord, maintenir à jour l’ensemble des systèmes, y compris les composants .NET et les applications associées. Ensuite, surveiller les processus inhabituels ou mal nommés (comme dllhost.exe détourné pour imiter ProcDump) peut permettre de détecter une activité suspecte. Il est également recommandé d’utiliser des solutions EDR et antivirus compatibles avec l’interface AMSI, capables de détecter les tentatives de contournement en mémoire.
Enfin, il est essentiel de bloquer les communications sortantes non autorisées, y compris vers des domaines cloud génériques (type *.azure.com) susceptibles d’héberger des serveurs C2. Les backdoors comme PipeMagic utilisent une communication locale pour leurs échanges internes, mais dépendent toujours d’un serveur distant pour recevoir leurs instructions et charger des modules. D’où l’intérêt de restreindre ces accès.
Source : Securelist
