Prendre la main sur un PC, siphonner des identifiants, surveiller les frappes au clavier, détourner le presse-papiers, CrystalX RAT ne manquait déjà pas d’idées. Repéré par Kaspersky, le malware pousse le mauvais goût encore plus loin avec un petit catalogue de farces franchement douteuses.
Le marché des malwares a ses classiques, et puis il a ses petits originaux. Repéré par Kaspersky dans une campagne active de promotion sur Telegram, CrystalX RAT coche déjà à peu près toutes les cases du cheval de Troie moderne vendu comme un service. Mais ce qui lui confère une saveur un peu différente concerne ce petit supplément de nuisance greffé au reste. Car en plus d’espionner la victime et de lui vider les poches numériques, le trojan semble aussi décidé à la faire tourner en bourrique.
Un RAT très complet, avec un sens de l’humour douteux
D’après Kaspersky, CrystalX RAT aurait commencé à circuler dès janvier 2026 dans des discussions privées sur Telegram sous le nom de Webcrystal RAT, avant d’être rebaptisé puis promu plus largement, y compris sur YouTube. Commercialisé comme un malware-as-a-service, il se présente comme un outil capable de combiner espionnage, vol de données et prise de contrôle à distance, attirail auquel s’ajoute une série de fonctions conçues pour troller la victime.
Dans le détail, l’outil peut exécuter des commandes via cmd.exe, parcourir le système, uploader ou télécharger des éléments depuis son serveur C2 et prendre la main sur la machine grâce à une fonction VNC intégrée. Il embarque aussi un keylogger qui transmet les frappes au clavier en temps réel à son serveur de commande, ainsi qu’un clipper capable d’intercepter des adresses de portefeuilles crypto pour les remplacer par celles des attaquants. CrystalX vise par ailleurs les identifiants liés à Steam, Discord et Telegram, ainsi que les données stockées dans plusieurs navigateurs. Le malware peut enfin capter le son du micro, le flux vidéo de la caméra et manipuler le presse-papiers de la victime.
Un RAT plutôt chargé, certes, mais finalement assez ordinaire. Les choses prennent en revanche une tournure plus singulière du côté des commandes consacrées aux blagues de mauvais goût intégrées à CrystalX. Dans son panneau d’administration, les chercheurs de Kaspersky ont ainsi repéré une rubrique baptisée ROFL, pour « Rolling On the Floor Laughing » (équivalent un peu ringard de « mort de rire »), qui permet à l’attaquant de déclencher toute une série d’actions destinées à désorienter la victime. Faire pivoter l’écran, interrompre les périphériques, masquer les icônes du bureau, remplacer le fond d’écran, désactiver la barre des tâches, faire danser le curseur, intervertir les clics de souris, afficher de fausses notifications ou encore ouvrir une fenêtre de discussion bidirectionnelle, autant de nuisances gratuites qui n’apportent pas grand-chose à l’efficacité du malware, mais participent de toute évidence à sa mise en scène.
Un malware qui amuse ses opérateurs, beaucoup moins ses victimes
Kaspersky ne documente pas encore précisément le vecteur d’infection initial de CrystalX, mais le risque passe vraisemblablement par des exécutables malveillants téléchargés hors sites officiels. Comme toujours, évitez autant que faire se peut les fichiers récupérés via Telegram ou d’autres sources peu fiables, en particulier lorsqu’ils se présentent comme des cracks ou des outils dont l’origine reste difficile à vérifier.
En cas de doute ou de compromission avérée, déconnectez immédiatement la machine du réseau et lancez une analyse antivirus complète. Une fois le poste assaini, changez sans tarder les mots de passe des comptes sensibles, révoquez les sessions encore actives lorsque c’est possible et gardez un œil sur vos messageries, comptes bancaires, plateformes de jeu et éventuels portefeuilles crypto.
Un RAT est un cheval de Troie qui donne à un attaquant un accès à distance à un PC sans consentement, avec des fonctions d’administration (fichiers, commandes, capture d’écran, etc.). À la différence d’un logiciel légitime (type assistance à distance), il s’installe via une infection et opère en mode furtif. Il s’appuie généralement sur une communication persistante vers une infrastructure de contrôle pour recevoir des ordres et renvoyer des données volées. Le danger vient de la combinaison “contrôle + espionnage + exfiltration”, qui transforme une machine en poste surveillé et exploitable à la demande.
À quoi sert un serveur de commande et contrôle (C2) dans un malware, et pourquoi c’est critique pour l’attaquant ?Le C2 (commande et contrôle) est le point central où les machines infectées viennent “prendre des ordres” et envoyer ce qu’elles collectent (frappes clavier, identifiants, fichiers, etc.). Il permet à l’opérateur de piloter l’infection à distance, de déclencher des actions en temps réel et d’adapter les modules selon la cible. Sans C2, beaucoup de malwares perdent leur intérêt, car ils ne peuvent plus être orchestrés ni monétisés efficacement. C’est aussi un élément clé pour la défense : couper la communication vers le C2 limite souvent les capacités actives du malware, même si la machine reste compromise.
Qu’est-ce qu’un “clipper” crypto, et comment peut-il voler de l’argent sans pirater un portefeuille ?Un clipper surveille le presse-papiers et remplace automatiquement une adresse de portefeuille crypto copiée par l’utilisateur par une adresse contrôlée par l’attaquant. La victime pense coller la bonne destination, mais valide en réalité un envoi vers le mauvais destinataire, souvent sans s’en rendre compte. Ce n’est pas un piratage du portefeuille au sens strict : il exploite une erreur humaine induite, au moment de la transaction. La protection la plus fiable reste de vérifier l’adresse collée (au moins les premiers et derniers caractères) et, si possible, d’utiliser des carnets d’adresses ou des mécanismes de validation renforcée.
