Imaginez un cambrioleur si discret qu’il marcherait sur la pointe des bits. C’est un peu l’idée derrière ce nouveau cheval de Troie à distance (RAT) qui sévit dans la nature depuis plusieurs semaines sans se faire repérer. Son arme secrète ? Des en-têtes DOS et PE volontairement corrompus. Un cocktail peu commun, mais diablement efficace pour éviter les radars des antivirus.
🗓️ Découvert quand ? Et qui l’a vu danser ?
Ce malware, surnommé par certains chercheurs HeaderGhost, a été détecté et analysé par l’équipe FortiGuard Labs de Fortinet, puis révélé publiquement le 29 mai 2025.
Les premières infections remontent à plusieurs semaines auparavant, ce qui signifie qu’il a pu se promener dans des environnements Windows en toute discrétion pendant un bon moment, sans déclencher la moindre alerte.
🧬 Petite leçon d’anatomie Windows : PE, DOS et embrouilles
Chaque fichier exécutable sous Windows (.exe, .dll) possède une structure bien connue : le format PE (Portable Executable). Celui-ci commence par un en-tête DOS (héritage des années 80) suivi d’un en-tête PE plus moderne. Ces en-têtes sont cruciaux : ils décrivent comment le système doit charger et exécuter le fichier.
Mais que se passe-t-il si… ces en-têtes sont volontairement endommagés ou déformés, sans empêcher le fichier de fonctionner ? C’est là que notre rat entre en scène…
🕵️♂️ Le stratagème du caméléon : “Header? I hardly know her!”
Le RAT modifie certains champs clés des en-têtes DOS et PE : il les tronque, les décale, ou les remplit de valeurs non standard. Résultat :
- Les antivirus et sandboxes échouent à parser correctement le fichier.
- Les outils d’analyse échouent ou abandonnent.
- Mais Windows, étonnamment tolérant, exécute quand même ce fichier sans broncher.
C’est comme si un CV était rempli de fautes, mais que le recruteur décidait quand même d’embaucher la personne parce qu’elle avait « la bonne tête ». Charmant, non ?
🖥️ Quelles versions de Windows sont touchées ?
Le RAT a été observé s’exécutant dans un processus dllhost.exe sous la forme d’un fichier PE 64 bits, ce qui indique qu’il est conçu pour les systèmes Windows modernes 64 bits, en particulier :
- Windows 10
- Windows 11
- Éventuellement Windows Server 2016/2019/2022
Rien n’indique qu’il soit compatible avec des versions plus anciennes comme Windows 7 (RIP) ou des variantes 32 bits.
🧪 Charge utile : discrétion, chiffrement et exfiltration
Une fois exécuté, HeaderGhost :
- Établit une persistance via le registre ou des fichiers planqués (
C:\ProgramData, etc.). - Communique avec un serveur C2 (notamment
rushpapers[.]com) via TLS. - Exécute des commandes distantes, vole des données, capture l’écran, et écoute des connexions entrantes.
- Tente d’échapper à la détection en surveillant les processus comme Wireshark, Procmon ou d’éventuels EDR.
Un classique RAT, mais avec une cape d’invisibilité sur mesure.
🛡️ Comment s’en protéger ?
Voici les mesures recommandées :
- Surveillez les processus système inhabituels comme
dllhost.exes’exécutant avec des fichiers non signés ou provenant de répertoires suspects. - Bloquez les extensions
.exedans les e-mails, et désactivez l’exécution automatique de fichiers compressés. - Analysez les exécutables avec des outils spécialisés comme PEStudio, Capa, ou Ghidra.
- Déployez une stratégie d’Application Whitelisting (AppLocker, WDAC) : seuls les exécutables autorisés peuvent se lancer.
- Activez la journalisation avancée de PowerShell et de la console Windows Script Host, souvent utilisés pour les étapes d’injection ou d’évasion.
Et bien sûr : sensibilisez vos utilisateurs. Un double-clic malheureux peut suffire à ouvrir la porte à ce fantôme numérique.
🎬 En conclusion : un bon header, c’est la base
Cette attaque rappelle que les fondations d’un fichier peuvent être aussi vulnérables que son contenu. En sabotant les en-têtes PE/DOS de manière intelligente, HeaderGhost contourne des années de recherche en détection statique et comportementale.
Restez vigilants, analysez vos headers, et souvenez-vous : même un fichier qui a l’air cassé peut être terriblement efficace… surtout quand il veut le rester.
