{"id":164821,"date":"2025-10-29T06:19:03","date_gmt":"2025-10-29T13:19:03","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=164821"},"modified":"2025-11-11T07:10:07","modified_gmt":"2025-11-11T15:10:07","slug":"new-windows-based-malware-family-airstalk","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/","title":{"rendered":"Un agent de menace \u00e9tatique pr\u00e9sum\u00e9 utilise le nouveau malware Airstalk pour attaquer la supply chain"},"content":{"rendered":"<h2><a id=\"post-164821-_heading=h.o39wcf9v6qtu\"><\/a>Avant-propos<\/h2>\n<p>Nous avons identifi\u00e9 une nouvelle famille de malwares bas\u00e9s sur Windows que nous avons baptis\u00e9e Airstalk, qui est disponible dans les variantes en PowerShell et .NET. Nous estimons avec un degr\u00e9 de confiance moyen qu\u2019un \u00e9ventuel agent de menace potentiellement \u00e9tatique a utilis\u00e9 ce malware dans le cadre d\u2019une attaque probable de la supply chain. Nous avons cr\u00e9\u00e9 le cluster d\u2019activit\u00e9s malveillantes CL-STA-1009 afin d\u2019identifier et de suivre toute autre activit\u00e9 connexe.<\/p>\n<p>Airstalk utilise \u00e0 tort l\u2019API AirWatch pour la gestion des appareils mobiles (MDM), qui s\u2019appelle d\u00e9sormais Workspace ONE Unified Endpoint Management. Il le fait pour \u00e9tablir un canal furtif de commande et contr\u00f4le (C2), principalement par le biais de la fonctionnalit\u00e9 AirWatch pour g\u00e9rer les attributs personnalis\u00e9s des appareils et les t\u00e9l\u00e9chargements de fichiers.<\/p>\n<p>Airstalk dispose des fonctionnalit\u00e9s suivantes\u00a0:<\/p>\n<ul>\n<li>Utilisation d\u2019un protocole de communication C2 multithread\u00e9<\/li>\n<li>Incorporation du contr\u00f4le de la version<\/li>\n<li>Utilisation d\u2019un certificat probablement vol\u00e9 pour signer certains des \u00e9chantillons trouv\u00e9s<\/li>\n<\/ul>\n<p>Ce malware est con\u00e7u pour exfiltrer les donn\u00e9es sensibles du navigateur, notamment\u00a0:<\/p>\n<ul>\n<li>Cookies<\/li>\n<li>Historique de la navigation<\/li>\n<li>Signets<\/li>\n<li>Captures d\u2019\u00e9cran<\/li>\n<\/ul>\n<p>Nous avons \u00e9galement identifi\u00e9 d\u2019autres t\u00e2ches dans les \u00e9chantillons trouv\u00e9s que l\u2019auteur de la menace n\u2019a pas mises en \u0153uvre.<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a>.<\/p>\n<table style=\"width: 100.519%;\">\n<thead>\n<tr>\n<td style=\"width: 30.1923%;\"><b>Unit\u00a042 -\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 145.985%;\"><strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/supply-chain-attack-fr\/\" target=\"_blank\" rel=\"noopener\">Attaques de la cha\u00eene d'approvisionnement<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/malicious-powershell-scripts-fr\/\" target=\"_blank\" rel=\"noopener\">Scripts PowerShell malveillants<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-164821-_heading=h.j9id0sq7thgf\"><\/a>Analyse technique<\/h2>\n<p>Nous avons identifi\u00e9 deux variantes principales du malware Airstalk, l\u2019une \u00e9crite en PowerShell et l\u2019autre en .NET. La variante .NET d\u2019Airstalk offre plus de possibilit\u00e9s que la variante PowerShell et semble \u00eatre \u00e0 un stade de d\u00e9veloppement plus avanc\u00e9.<\/p>\n<p>Nous appelons ce malware Airstalk, car il d\u00e9tourne l\u2019API MDM d\u2019AirWatch pour ses communications\u00a0C2. Les deux variantes utilisent le m\u00eame canal furtif pour les communications\u00a0C2, mais les protocoles C2 et les navigateurs cibl\u00e9s diff\u00e8rent l\u00e9g\u00e8rement.<\/p>\n<h3><a id=\"post-164821-_heading=h.knez9h8fczj2\"><\/a>Variante PowerShell d\u2019Airstalk<\/h3>\n<h4><a id=\"post-164821-_heading=h.caliwhxjmjgp\"><\/a>Mise en \u0153uvre du canal furtif PowerShell<\/h4>\n<p>Airstalk utilise le terminal des appareils <em>(<span style=\"font-family: 'courier new', courier, monospace;\">\/api\/mdm\/devices\/<\/span><\/em>) de l\u2019API MDM d\u2019AirWatch pour ses communications\u00a0C2 furtives avec l\u2019attaquant. Ces communications C2 exploitent la fonctionnalit\u00e9 d\u2019attributs personnalis\u00e9s de l\u2019appareil dans l\u2019API MDM d\u2019AirWatch pour stocker les d\u00e9tails de la communication de la porte d\u00e9rob\u00e9e et l\u2019utiliser comme un dead drop.<\/p>\n<p>Un dead drop est une m\u00e9thode de communication secr\u00e8te utilis\u00e9e pour transmettre des objets ou des informations entre des individus sans qu\u2019ils se connectent directement. Les attaquants exploitent g\u00e9n\u00e9ralement cette technique dans le cadre de l\u2019espionnage, o\u00f9 une personne laisse l\u2019objet dans un endroit cach\u00e9 et l\u2019autre le r\u00e9cup\u00e8re plus tard.<\/p>\n<p>Le malware exploite \u00e9galement un autre terminal de l\u2019API <em>(<span style=\"font-family: 'courier new', courier, monospace;\">\/api\/mam\/blobs\/uploadblob<\/span><\/em>) pour t\u00e9l\u00e9charger des fichiers \u00e0 diff\u00e9rentes fins.<\/p>\n<p>Les communications C2 sont bas\u00e9es sur des messages JSON via le terminal d\u2019API des appareils, contenant au moins les champs obligatoires suivants (premier sch\u00e9ma)\u00a0:<\/p>\n<pre class=\"lang:default decode:true\">{\r\n\r\n\u201cName\u201d : \u201c&lt;CLIENT_UUID&gt;\u201d,\r\n\r\n\u201cValue\u201d : \u201c&lt;SERIALIZED_MESSAGE&gt;\u201d,\r\n\r\n\u201cUuid\u201d : \u201c&lt;CLIENT_UUID&gt;\u201d,\r\n\r\n\u201cApplication\u201d : \u201cservices.exe\u201d,\r\n\r\n\u201cApplicationGroup\u201d : \u201cservices\u201d\r\n\r\n}<\/pre>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\"><strong>CLIENT_UUID\u00a0<\/strong><\/span>: lire l\u2019instrumentation de gestion Windows (WMI) pour conna\u00eetre la valeur r\u00e9elle de l\u2019appareil compromis.<\/li>\n<li><strong><span style=\"font-family: 'courier new', courier, monospace;\">SERIALIZED_MESSAGE<\/span>\u00a0<\/strong>: message JSON cod\u00e9 en base64.<\/li>\n<\/ul>\n<p>Le message s\u00e9rialis\u00e9 envoy\u00e9 dans le champ <span style=\"font-family: 'courier new', courier, monospace;\">Value<\/span> comporte au moins les champs suivants (deuxi\u00e8me sch\u00e9ma)\u00a0:<\/p>\n<pre class=\"lang:default decode:true\">{\r\n\r\n\u201cmethod\u201d : \u201c&lt;MESSAGE_TYPE&gt;\u201d,\r\n\r\n\u201cuuid\u201d : \u201c&lt;CLIENT_UUID&gt;\u201d,\r\n\r\n\u201csender\u201d ; \u201c&lt;SENDER_ROLE&gt;\u201d\r\n\r\n}<\/pre>\n<ul>\n<li><strong><span style=\"font-family: 'courier new', courier, monospace;\">CLIENT_UUID<\/span>\u00a0<\/strong>: valeur r\u00e9elle de l\u2019identifiant universel unique (UUID) de l\u2019appareil compromis.<\/li>\n<li><strong><span style=\"font-family: 'courier new', courier, monospace;\">MESSAGE_TYPE<\/span>\u00a0<\/strong>: varie en fonction de l\u2019objectif du message.<\/li>\n<li><strong><span style=\"font-family: 'courier new', courier, monospace;\">SENDER_ROLE<\/span>\u00a0<\/strong>: d\u00e9fini comme <span style=\"font-family: 'courier new', courier, monospace;\">client<\/span> pour tous les messages envoy\u00e9s depuis l\u2019appareil compromis vers le terminal de l\u2019API.<\/li>\n<\/ul>\n<p>Les messages finaux (premier sch\u00e9ma) sont ensuite d\u00e9finis en tant qu\u2019attributs personnalis\u00e9s par l\u2019interm\u00e9diaire de l\u2019API MDM pour communiquer avec l\u2019attaquant.<\/p>\n<figure id=\"attachment_164822\" aria-describedby=\"caption-attachment-164822\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164822 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-452534-164821-1.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un script PowerShell utilis\u00e9 pour traiter des requ\u00eates HTTP envoy\u00e9es \u00e0 une API web, comprenant des variables, une boucle et des instructions conditionnelles. Les noms sp\u00e9cifiques sont visibles dans le code.\" width=\"1000\" height=\"624\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-452534-164821-1.png 1246w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-452534-164821-1-705x440.png 705w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-452534-164821-1-1121x700.png 1121w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-452534-164821-1-768x480.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164822\" class=\"wp-caption-text\">Figure 1. Fonction principale du canal furtif de la variante PowerShell d\u2019Airstalk.<\/figcaption><\/figure>\n<p>Pour relire un message de l\u2019attaquant, le malware effectue le processus inverse. Il d\u00e9s\u00e9rialise le message et v\u00e9rifie si ce dernier provient de l\u2019attaquant, afin d\u2019\u00e9viter de lire le message qu\u2019il a lui-m\u00eame envoy\u00e9, comme l\u2019illustre la Figure\u00a02.<\/p>\n<figure id=\"attachment_164833\" aria-describedby=\"caption-attachment-164833\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164833 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-455272-164821-2.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un script de programmation comportant diverses fonctions et instructions conditionnelles \u00e9crites dans un langage de codage, mises en \u00e9vidence par des fl\u00e8ches pointant vers des lignes et des \u00e9l\u00e9ments sp\u00e9cifiques.\" width=\"1000\" height=\"616\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-455272-164821-2.png 1518w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-455272-164821-2-714x440.png 714w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-455272-164821-2-1136x700.png 1136w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-455272-164821-2-768x473.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164833\" class=\"wp-caption-text\">Figure 2. R\u00e9ponse C2 de la fonction principale du canal furtif de la variante PowerShell d\u2019Airstalk.<\/figcaption><\/figure>\n<h4><a id=\"post-164821-_heading=h.r0vr61kynexx\"><\/a>Protocole\u00a0C2<\/h4>\n<p>Le protocole C2 de la variante PowerShell d\u2019Airstalk utilise diff\u00e9rents types de messages pour la synchronisation et l\u2019ex\u00e9cution de t\u00e2ches sp\u00e9cifiques, en fonction de l\u2019\u00e9tape de la communication.<\/p>\n<p>Le Tableau\u00a01 pr\u00e9sente les diff\u00e9rentes valeurs que peut prendre le champ de la <span style=\"font-family: 'courier new', courier, monospace;\">m\u00e9thode<\/span>.<\/p>\n<table style=\"width: 101.138%;\">\n<tbody>\n<tr>\n<td style=\"width: 46.1817%; text-align: center;\"><strong>MESSAGE_TYPE<\/strong><\/td>\n<td style=\"width: 190.733%; text-align: center;\"><strong>Objectif<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 46.1817%;\"><span style=\"font-family: 'courier new', courier, monospace;\">CONNECT<\/span><\/td>\n<td style=\"width: 190.733%;\">Demande de connexion<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 46.1817%;\"><span style=\"font-family: 'courier new', courier, monospace;\">CONNECTED<\/span><\/td>\n<td style=\"width: 190.733%;\">Connexion accept\u00e9e<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 46.1817%;\"><span style=\"font-family: 'courier new', courier, monospace;\">ACTIONS<\/span><\/td>\n<td style=\"width: 190.733%;\">Synchronisation des t\u00e2ches<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 46.1817%;\"><span style=\"font-family: 'courier new', courier, monospace;\">RESULT<\/span><\/td>\n<td style=\"width: 190.733%;\">R\u00e9sultats des t\u00e2ches<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a01. Valeurs du champ m\u00e9thode dans la variante PowerShell des communications\u00a0C2 d\u2019Airstalk.<\/span><\/p>\n<p>Une fois ex\u00e9cut\u00e9e, la variante PowerShell d\u2019Airstalk lance la communication avec l\u2019attaquant. Pour ce faire, elle envoie un message <span style=\"font-family: 'courier new', courier, monospace;\">CONNECT<\/span> et bloque l\u2019ex\u00e9cution par le biais de la fonction <span style=\"font-family: 'courier new', courier, monospace;\">Get-Response<\/span>, comme indiqu\u00e9 sur la Figure\u00a03, dans l\u2019attente d\u2019un message de l\u2019agent de menace.<\/p>\n<figure id=\"attachment_164844\" aria-describedby=\"caption-attachment-164844\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164844 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-457929-164821-3.png\" alt=\"Extrait de code montrant un script permettant d\u2019initialiser une connexion, de convertir une requ\u00eate en Base64 et de g\u00e9rer la r\u00e9ponse du serveur en fonction de l\u2019\u00e9tat de la connexion, avec des couleurs diff\u00e9rentes pour indiquer la syntaxe.\" width=\"1000\" height=\"339\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-457929-164821-3.png 1219w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-457929-164821-3-786x266.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-457929-164821-3-768x260.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164844\" class=\"wp-caption-text\">Figure 3. Initialisation de la connexion par la variante PowerShell d\u2019Airstalk.<\/figcaption><\/figure>\n<p>Le code semble s\u2019attendre \u00e0 recevoir un message <span style=\"font-family: 'courier new', courier, monospace;\">CONNECTED<\/span>. Cependant, le r\u00e9sultat est le m\u00eame quel que soit le type de message, tant qu\u2019il ne provient pas du malware (<span style=\"font-family: 'courier new', courier, monospace;\">client<\/span>).<\/p>\n<p>Apr\u00e8s avoir \u00e9tabli une connexion avec l\u2019attaquant, le malware\u00a0:<\/p>\n<ul>\n<li>demande d\u2019ex\u00e9cuter les t\u00e2ches en envoyant un message de type <span style=\"font-family: 'courier new', courier, monospace;\">ACTIONS<\/span>.<\/li>\n<li>bloque l\u2019ex\u00e9cution en attendant une r\u00e9ponse de l\u2019attaquant avec un message de type <span style=\"font-family: 'courier new', courier, monospace;\">ACTIONS<\/span>.<\/li>\n<li>renvoie l\u2019ID de l\u2019action \u00e0 mener, comme indiqu\u00e9 sur la Figure\u00a04 ci-dessous.<\/li>\n<\/ul>\n<figure id=\"attachment_164855\" aria-describedby=\"caption-attachment-164855\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164855 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-460201-164821-4.png\" alt=\"Image d\u2019un extrait de code informatique dans un langage de programmation, compos\u00e9 de fonctions et d\u2019instructions conditionnelles, avec des annotations indiqu\u00e9es par des fl\u00e8ches.\" width=\"1000\" height=\"295\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-460201-164821-4.png 1218w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-460201-164821-4-786x232.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-460201-164821-4-768x226.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164855\" class=\"wp-caption-text\">Figure 4. T\u00e2ches C2 v\u00e9rifi\u00e9es par la variante PowerShell d\u2019Airstalk.<\/figcaption><\/figure>\n<p>Comme indiqu\u00e9 sur la Figure\u00a04, le flux d\u2019ex\u00e9cution filtre cette fois correctement le type de message.<\/p>\n<p>La Figure\u00a05 illustre le flux d\u2019ex\u00e9cution de la variante PowerShell d\u2019Airstalk.<\/p>\n<figure id=\"attachment_164866\" aria-describedby=\"caption-attachment-164866\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164866 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-462509-164821-5.png\" alt=\"Diagramme illustrant l\u2019interaction entre le malware (appareil infect\u00e9), AirWatch MDM et le malware (acteur de la menace) avec des descriptions des \u00e9tapes du processus telles que le blocage de l\u2019ex\u00e9cution, l\u2019accus\u00e9 de r\u00e9ception des actions et l\u2019ex\u00e9cution des t\u00e2ches.\" width=\"1000\" height=\"885\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-462509-164821-5.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-462509-164821-5-497x440.png 497w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-462509-164821-5-791x700.png 791w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-462509-164821-5-768x680.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-462509-164821-5-1536x1360.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164866\" class=\"wp-caption-text\">Figure 5. Flux d\u2019ex\u00e9cution C2 de la variante PowerShell d\u2019Airstalk.<\/figcaption><\/figure>\n<h4><a id=\"post-164821-_heading=h.kghs4gn4yfqg\"><\/a>Capacit\u00e9s des portes d\u00e9rob\u00e9es<\/h4>\n<p>Une fois le canal de communication C2 \u00e9tabli, la variante PowerShell d\u2019Airstalk peut recevoir diff\u00e9rentes t\u00e2ches par le biais du champ d\u2019action, comme indiqu\u00e9 dans le Tableau 2 ci-dessous.<\/p>\n<table style=\"width: 98.9647%;\">\n<tbody>\n<tr>\n<td style=\"width: 16.9381%; text-align: center;\"><strong>ACTION_ID<\/strong><\/td>\n<td style=\"width: 131.433%; text-align: center;\"><strong>T\u00e2che<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16.9381%; text-align: center;\">0<\/td>\n<td style=\"width: 131.433%;\">Faire une capture d\u2019\u00e9cran<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16.9381%; text-align: center;\">1<\/td>\n<td style=\"width: 131.433%;\">R\u00e9cup\u00e9rer tous les cookies de Chrome<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16.9381%; text-align: center;\">2<\/td>\n<td style=\"width: 131.433%;\">R\u00e9pertorier tous les fichiers contenus dans le r\u00e9pertoire de l\u2019utilisateur<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16.9381%; text-align: center;\">4<\/td>\n<td style=\"width: 131.433%;\">R\u00e9pertorier tous les profils Chrome dans le r\u00e9pertoire de l\u2019utilisateur<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16.9381%; text-align: center;\">5<\/td>\n<td style=\"width: 131.433%;\">Obtenir les signets d\u2019un profil Chrome donn\u00e9<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16.9381%; text-align: center;\">6<\/td>\n<td style=\"width: 131.433%;\">Obtenir l\u2019historique du navigateur d\u2019un profil Chrome donn\u00e9<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 16.9381%; text-align: center;\">7<\/td>\n<td style=\"width: 131.433%;\">D\u00e9sinstaller la porte d\u00e9rob\u00e9e<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a02. Identifiants et t\u00e2ches du champ d\u2019action.<\/span><\/p>\n<p>D\u2019apr\u00e8s les valeurs du champ <span style=\"font-family: 'courier new', courier, monospace;\">ACTION_ID<\/span> dans le Tableau\u00a02, nous constatons que la valeur\u00a03 est ignor\u00e9e. Cela pourrait \u00eatre une d\u00e9cision du d\u00e9veloppeur, une erreur ou un moyen de dissimuler des capacit\u00e9s suppl\u00e9mentaires de la porte d\u00e9rob\u00e9e en \u00e9liminant la mise en \u0153uvre des t\u00e2ches. Cette \u00e9limination est un moyen simple mais efficace d\u2019en faire une porte d\u00e9rob\u00e9e modulaire.<\/p>\n<p>Apr\u00e8s ex\u00e9cution d\u2019une t\u00e2che, le malware envoie le r\u00e9sultat via la fonction <span style=\"font-family: 'courier new', courier, monospace;\">UploadResult<\/span>, en pr\u00e9cisant la valeur dans <span style=\"font-family: 'courier new', courier, monospace;\">ACTION_ID<\/span> de la t\u00e2che ex\u00e9cut\u00e9e et la valeur renvoy\u00e9e, comme indiqu\u00e9 \u00e0 la Figure\u00a06.<\/p>\n<figure id=\"attachment_164877\" aria-describedby=\"caption-attachment-164877\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164877 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-465614-164821-6.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un extrait de code dans un langage de programmation avec des annotations sous forme de fl\u00e8ches pointant vers des lignes sp\u00e9cifiques, mettant en \u00e9vidence les parties du code li\u00e9es au traitement des donn\u00e9es et aux v\u00e9rifications de la r\u00e9ponse du serveur.\" width=\"1000\" height=\"486\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-465614-164821-6.png 1213w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-465614-164821-6-786x382.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-465614-164821-6-768x374.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164877\" class=\"wp-caption-text\">Figure 6. Renvoi du r\u00e9sultat de la t\u00e2che au canal C2.<\/figcaption><\/figure>\n<p>Certaines t\u00e2ches n\u00e9cessitent le renvoi d\u2019un volume important de donn\u00e9es ou de fichiers apr\u00e8s l\u2019ex\u00e9cution d\u2019Airstalk. Pour ce faire, le malware utilise la fonctionnalit\u00e9 blobs de l\u2019API MDM d\u2019AirWatch afin de charger le contenu en tant que nouveau blob. La Figure\u00a07 montre comment cela est mis en \u0153uvre dans le script de la variante PowerShell d\u2019Airstalk.<\/p>\n<figure id=\"attachment_164888\" aria-describedby=\"caption-attachment-164888\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164888 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-467888-164821-7.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un script PowerShell avec des annotations indiqu\u00e9es par des fl\u00e8ches pointant vers des \u00e9l\u00e9ments cl\u00e9s du code.\" width=\"1000\" height=\"405\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-467888-164821-7.png 1364w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-467888-164821-7-786x319.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-467888-164821-7-768x311.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164888\" class=\"wp-caption-text\">Figure 7. Fonction de t\u00e9l\u00e9chargement de fichiers dans la variante PowerShell d\u2019Airstalk.<\/figcaption><\/figure>\n<p>Un exemple de ce comportement est la capture d\u2019\u00e9cran de l\u2019h\u00f4te infect\u00e9, comme illustr\u00e9 \u00e0 la Figure\u00a08 ci-dessous.<\/p>\n<figure id=\"attachment_164899\" aria-describedby=\"caption-attachment-164899\" style=\"width: 450px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164899 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-470107-164821-8.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un extrait de code contenant des commandes PowerShell. Ce code comprend une logique conditionnelle permettant d\u2019effectuer une capture d\u2019\u00e9cran et de la t\u00e9l\u00e9charger, les annotations \u00e9tant indiqu\u00e9es par des fl\u00e8ches.\" width=\"450\" height=\"166\" \/><figcaption id=\"caption-attachment-164899\" class=\"wp-caption-text\">Figure 8. Fonction de capture d\u2019\u00e9cran utilisant la fonctionnalit\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">UploadResult<\/span>.<\/figcaption><\/figure>\n<p>La fonction de vidage des cookies de Chrome active le d\u00e9bogage \u00e0 distance du navigateur et le red\u00e9marre avec des param\u00e8tres permettant de charger le profil Chrome cibl\u00e9. Ces param\u00e8tres envoient \u00e9galement la commande de vidage de tous les cookies et de leur enregistrement dans un fichier qui est ensuite exfiltr\u00e9 par le canal furtif illustr\u00e9 ci-dessous \u00e0 la Figure\u00a09.<\/p>\n<figure id=\"attachment_164910\" aria-describedby=\"caption-attachment-164910\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164910 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-472289-164821-9.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un ordinateur affichant le code d\u2019un logiciel dans un IDE, avec une mise en \u00e9vidence de la syntaxe et des fl\u00e8ches pointant vers des sections cl\u00e9s du code.\" width=\"1000\" height=\"820\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-472289-164821-9.png 1345w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-472289-164821-9-537x440.png 537w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-472289-164821-9-854x700.png 854w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-472289-164821-9-768x630.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164910\" class=\"wp-caption-text\">Figure 9. Exfiltration des cookies de Chrome.<\/figcaption><\/figure>\n<p>Comme signal\u00e9 pr\u00e9c\u00e9demment par <a href=\"https:\/\/redcanary.com\/blog\/threat-intelligence\/google-chrome-app-bound-encryption\/\" target=\"_blank\" rel=\"noopener\">Red Canary<\/a>, le vol de cookies via le d\u00e9bogage \u00e0 distance de Chrome n\u2019est pas une nouveaut\u00e9 et est d\u00e9j\u00e0 int\u00e9gr\u00e9 dans plusieurs stealers tels que Lumma et StealC. Toutefois, il est peu probable que ces stealers r\u00e9ussissent \u00e0 fonctionner dans un environnement bien prot\u00e9g\u00e9. L\u2019int\u00e9gration de cette fonctionnalit\u00e9 dans un outil de gestion de syst\u00e8mes fiable permet de l\u2019ex\u00e9cuter sans \u00e9veiller les soup\u00e7ons.<\/p>\n<h3><a id=\"post-164821-_heading=h.96rykgk8d9b\"><\/a>Variante .NET d\u2019Airstalk<\/h3>\n<p>Au cours de notre enqu\u00eate sur ce logiciel malveillant, nous avons identifi\u00e9 une s\u00e9rie d\u2019\u00e9chantillons repr\u00e9sentant une variante .NET d\u2019Airstalk. Par rapport \u00e0 la variante PowerShell, la variante .NET pr\u00e9sente de l\u00e9g\u00e8res diff\u00e9rences dans son protocole C2 de canal furtif et dispose de plus de capacit\u00e9s. La variante .NET semble \u00e9galement \u00eatre \u00e0 un stade de d\u00e9veloppement plus avanc\u00e9 que la variante\u00a0PowerShell.<\/p>\n<p>Alors que l\u2019\u00e9chantillon PowerShell d\u2019Airstalk que nous avons trouv\u00e9 ciblait uniquement Google\u00a0Chrome, la variante .NET d\u2019Airstalk cible \u00e9galement deux navigateurs web suppl\u00e9mentaires\u00a0:<\/p>\n<ul>\n<li>Microsoft Edge<\/li>\n<li>Navigateur Island<\/li>\n<\/ul>\n<p>La variante .NET tente d\u2019imiter une application existante en utilisant la signature de code et des attributs de m\u00e9tadonn\u00e9es sp\u00e9cifiques. La Figure\u00a010 en donne un exemple.<\/p>\n<figure id=\"attachment_164921\" aria-describedby=\"caption-attachment-164921\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164921 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-474943-164821-10.png\" alt=\"Capture d\u2019\u00e9cran affichant les propri\u00e9t\u00e9s d\u2019un fichier nomm\u00e9 AirWatchHelper.exe, un produit de VMware. Parmi les champs importants\u00a0: Nom de l\u2019entreprise\u00a0: VMware, Nom du produit\u00a0: Client, et divers d\u00e9tails sur la version.\" width=\"700\" height=\"265\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-474943-164821-10.png 1422w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-474943-164821-10-786x297.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-474943-164821-10-768x291.png 768w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-164921\" class=\"wp-caption-text\">Figure 10. Les m\u00e9tadonn\u00e9es exif de la variante .NET d\u2019Airstalk sont d\u00e9finies de mani\u00e8re native par le biais d\u2019assemblages .NET.<\/figcaption><\/figure>\n<h4><a id=\"post-164821-_heading=h.ritpbn2zsy6a\"><\/a>Mise en \u0153uvre d\u2019un canal furtif .NET<\/h4>\n<p>Par rapport \u00e0 la variante PowerShell, la variante .NET d\u2019Airstalk inclut un suffixe suppl\u00e9mentaire au champ UUID dans le message JSON (premier sch\u00e9ma) dans sa communication C2 secr\u00e8te, comme indiqu\u00e9 \u00e0 la Figure\u00a011.<\/p>\n<figure id=\"attachment_164932\" aria-describedby=\"caption-attachment-164932\" style=\"width: 749px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164932 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-477261-164821-11.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un extrait de code de programmation montrant une fonction nomm\u00e9e SetAttribute avec plusieurs cas dans une instruction de commutation et la d\u00e9finition d\u2019attributs en fonction du type de remise.\" width=\"749\" height=\"585\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-477261-164821-11.png 749w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-477261-164821-11-563x440.png 563w\" sizes=\"(max-width: 749px) 100vw, 749px\" \/><figcaption id=\"caption-attachment-164932\" class=\"wp-caption-text\">Figure 11. Fonction de code du canal furtif dans la variante .NET d\u2019Airstalk.<\/figcaption><\/figure>\n<p>La variante .NET d\u2019Airstalk dispose de trois types de delivery diff\u00e9rents pour ses communications C2, comme indiqu\u00e9 dans le Tableau 3.<\/p>\n<table style=\"width: 99.2683%; height: 96px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"width: 18.5984%; text-align: center; height: 24px;\"><strong>Type de delivery<\/strong><\/td>\n<td style=\"width: 8.3558%; text-align: center; height: 24px;\"><strong>Suffixe<\/strong><\/td>\n<td style=\"width: 129.38%; text-align: center; height: 24px;\"><strong>Description<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 18.5984%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">DEBUG<\/span><\/td>\n<td style=\"width: 8.3558%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">-kd<\/span><\/td>\n<td style=\"width: 129.38%; height: 24px;\">Utilis\u00e9 pour envoyer des donn\u00e9es de d\u00e9bogage<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 18.5984%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">RESULT<\/span><\/td>\n<td style=\"width: 8.3558%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">-kr<\/span><\/td>\n<td style=\"width: 129.38%; height: 24px;\">Utilis\u00e9 pour v\u00e9rifier les t\u00e2ches et envoyer les r\u00e9sultats des t\u00e2ches<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 18.5984%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">BASE<\/span><\/td>\n<td style=\"width: 8.3558%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">-kb<\/span><\/td>\n<td style=\"width: 129.38%; height: 24px;\">Utilis\u00e9 pour \u00e9tablir la connexion et le beaconing<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a03. Diff\u00e9rents types de delivery dans les communications\u00a0C2 pour la variante .NET d\u2019Airstalk.<\/span><\/p>\n<h4><a id=\"post-164821-_heading=h.yycoem4eejjv\"><\/a> Protocole\u00a0C2<\/h4>\n<p>Par rapport \u00e0 la variante PowerShell, la variante .NET d\u2019Airstalk pr\u00e9sente de petites diff\u00e9rences dans les types de messages au niveau de son protocole C2. Le Tableau 4 \u00e9num\u00e8re les types suppl\u00e9mentaires (m\u00e9thodes) utilis\u00e9s par la variante .NET.<\/p>\n<table style=\"width: 98.9666%;\">\n<tbody>\n<tr>\n<td style=\"width: 21.0072%; text-align: center;\"><strong>MESSAGE_TYPE<\/strong><\/td>\n<td style=\"width: 35.1079%; text-align: center;\"><strong>Objectif<\/strong><\/td>\n<td style=\"width: 24.8921%; text-align: center;\"><strong>Variante PowerShell<\/strong><\/td>\n<td style=\"width: 85.8993%; text-align: center;\"><strong>Variante .NET<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 21.0072%;\"><span style=\"font-family: 'courier new', courier, monospace;\">CONNECT<\/span><\/td>\n<td style=\"width: 35.1079%;\">Demande de connexion<\/td>\n<td style=\"width: 24.8921%;\">Oui<\/td>\n<td style=\"width: 85.8993%;\">Oui<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 21.0072%;\"><span style=\"font-family: 'courier new', courier, monospace;\">CONNECTED<\/span><\/td>\n<td style=\"width: 35.1079%;\">Connexion accept\u00e9e<\/td>\n<td style=\"width: 24.8921%;\">Oui<\/td>\n<td style=\"width: 85.8993%;\">Oui<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 21.0072%;\"><span style=\"font-family: 'courier new', courier, monospace;\">ACTIONS<\/span><\/td>\n<td style=\"width: 35.1079%;\">Flux de t\u00e2ches<\/td>\n<td style=\"width: 24.8921%;\">Oui<\/td>\n<td style=\"width: 85.8993%;\">Oui<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 21.0072%;\"><span style=\"font-family: 'courier new', courier, monospace;\">RESULT<\/span><\/td>\n<td style=\"width: 35.1079%;\">R\u00e9sultats des t\u00e2ches<\/td>\n<td style=\"width: 24.8921%;\">Oui<\/td>\n<td style=\"width: 85.8993%;\">Oui<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 21.0072%;\"><span style=\"font-family: 'courier new', courier, monospace;\">MISMATCH<\/span><\/td>\n<td style=\"width: 35.1079%;\">Erreur de compatibilit\u00e9 de version<\/td>\n<td style=\"width: 24.8921%;\"><strong>Non<\/strong><\/td>\n<td style=\"width: 85.8993%;\">Oui<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 21.0072%;\"><span style=\"font-family: 'courier new', courier, monospace;\">DEBUG<\/span><\/td>\n<td style=\"width: 35.1079%;\">Messages de d\u00e9bogage<\/td>\n<td style=\"width: 24.8921%;\"><strong>Non<\/strong><\/td>\n<td style=\"width: 85.8993%;\">Oui<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 21.0072%;\"><span style=\"font-family: 'courier new', courier, monospace;\">PING<\/span><\/td>\n<td style=\"width: 35.1079%;\">Beaconing<\/td>\n<td style=\"width: 24.8921%;\"><strong>Non<\/strong><\/td>\n<td style=\"width: 85.8993%;\">Oui<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a04. M\u00e9thodes de communication de la variante .NET du protocole\u00a0C2 d\u2019Airstalk.<\/span><\/p>\n<p>Par rapport \u00e0 sa variante PowerShell, la variante .NET d\u2019Airstalk a un flux d\u2019ex\u00e9cution diff\u00e9rent. La variante .NET utilise trois threads d\u2019ex\u00e9cution diff\u00e9rents, un pour chaque objectif sp\u00e9cifique\u00a0:<\/p>\n<ul>\n<li>Gestion des t\u00e2ches\u00a0C2<\/li>\n<li>Exfiltration du journal de d\u00e9bogage<\/li>\n<li>Beaconing des communications C2<\/li>\n<\/ul>\n<figure id=\"attachment_164943\" aria-describedby=\"caption-attachment-164943\" style=\"width: 802px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164943 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-479466-164821-12.png\" alt=\"Image d\u2019un code de programmation informatique affich\u00e9 sur un \u00e9cran, pr\u00e9sentant plusieurs exemples de concepts de programmation orient\u00e9e objet. Parmi les \u00e9l\u00e9ments essentiels\u00a0: l\u2019instanciation d\u2019objets, la gestion des exceptions avec un bloc try-catch et l\u2019utilisation du threading syst\u00e8me. Le code contient des annotations et des fl\u00e8ches soulignant des parties sp\u00e9cifiques du script. Certaines informations sont masqu\u00e9es. \" width=\"802\" height=\"624\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-479466-164821-12.png 802w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-479466-164821-12-566x440.png 566w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-479466-164821-12-768x598.png 768w\" sizes=\"(max-width: 802px) 100vw, 802px\" \/><figcaption id=\"caption-attachment-164943\" class=\"wp-caption-text\">Figure 12. Code illustrant le flux d\u2019ex\u00e9cution principal pour les communications C2 dans la variante .NET d\u2019Airstalk.<\/figcaption><\/figure>\n<p>Comme indiqu\u00e9 dans la Figure\u00a012 ci-dessus, ces variantes ont un comportement de beaconing, un thread de d\u00e9bogage et un fichier journal qu\u2019elles renvoient \u00e0 l\u2019attaquant. Ces informations sont envoy\u00e9es par le canal furtif toutes les 10\u00a0minutes, conform\u00e9ment \u00e0 la fonction <span style=\"font-family: 'courier new', courier, monospace;\">Debug<\/span> pr\u00e9sent\u00e9e \u00e0 la Figure\u00a013.<\/p>\n<figure id=\"attachment_164954\" aria-describedby=\"caption-attachment-164954\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164954 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-481787-164821-13.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un code informatique pr\u00e9sentant un langage de programmation avec diverses fonctions et la gestion des exceptions li\u00e9es aux op\u00e9rations sur les fichiers et au d\u00e9bogage.\" width=\"1000\" height=\"513\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-481787-164821-13.png 1051w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-481787-164821-13-786x403.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-481787-164821-13-768x394.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164954\" class=\"wp-caption-text\">Figure 13. La fonction de d\u00e9bogage t\u00e9l\u00e9charge p\u00e9riodiquement le journal.<\/figcaption><\/figure>\n<p>La Figure\u00a014 pr\u00e9sente la liste compl\u00e8te des t\u00e2ches prises en charge par la variante\u00a0.NET.<\/p>\n<figure id=\"attachment_164965\" aria-describedby=\"caption-attachment-164965\" style=\"width: 400px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164965 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-484138-164821-14.png\" alt=\"Capture d\u2019\u00e9cran du code affichant une \u00e9num\u00e9ration intitul\u00e9e \u00ab\u00a0TaskType\u00a0\u00bb avec divers noms de t\u00e2ches tels que UpdateChrome, RunUtility, EnterProfile, OpenUrl, et d\u2019autres \u00e9num\u00e9r\u00e9s entre accolades.\" width=\"400\" height=\"495\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-484138-164821-14.png 638w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-484138-164821-14-355x440.png 355w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-484138-164821-14-565x700.png 565w\" sizes=\"(max-width: 400px) 100vw, 400px\" \/><figcaption id=\"caption-attachment-164965\" class=\"wp-caption-text\">Figure 14. Liste des t\u00e2ches prises en charge pour les communications C2 dans la variante .NET d\u2019Airstalk.<\/figcaption><\/figure>\n<p>Bien que les noms des t\u00e2ches de la variante .NET soient d\u00e9finis de mani\u00e8re similaire \u00e0 ceux de la variante PowerShell, certaines t\u00e2ches ne sont pas mises en \u0153uvre. En outre, les ID de t\u00e2ches dans la variante .NET diff\u00e8rent de ceux de la variante PowerShell. Cela indique une \u00e9volution de la variante .NET d\u2019Airstalk par rapport \u00e0 ce que l\u2019on observe dans la variante PowerShell. Dans la variante .NET, certaines t\u00e2ches ressemblent \u00e0 celles de la variante PowerShell, mais un examen plus approfondi r\u00e9v\u00e8le qu\u2019elles sont plus complexes, constitu\u00e9es de sous-t\u00e2ches combin\u00e9es.<\/p>\n<p>Le Tableau 5 ci-dessous d\u00e9crit les capacit\u00e9s et la mise en \u0153uvre des fonctions pr\u00e9sent\u00e9es plus haut dans la Figure 14.<\/p>\n<table style=\"width: 100.781%;\">\n<tbody>\n<tr>\n<td style=\"width: 26.6913%; text-align: center;\"><strong>Nom<\/strong><\/td>\n<td style=\"width: 3.07503%; text-align: center;\"><strong>ID<\/strong><\/td>\n<td style=\"width: 14.1451%; text-align: center;\"><strong>Mis en \u0153uvre<\/strong><\/td>\n<td style=\"width: 100.123%; text-align: center;\"><strong>Description<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.6913%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Screenshot<\/span><\/td>\n<td style=\"width: 3.07503%;\">0<\/td>\n<td style=\"width: 14.1451%;\">Oui<\/td>\n<td style=\"width: 100.123%;\">Effectue une capture d\u2019\u00e9cran<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.6913%;\"><span style=\"font-family: 'courier new', courier, monospace;\">UpdateChrome<\/span><\/td>\n<td style=\"width: 3.07503%;\">1<\/td>\n<td style=\"width: 14.1451%;\">Oui<\/td>\n<td style=\"width: 100.123%;\">Exfiltre le profil Chrome sp\u00e9cifi\u00e9<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.6913%;\"><span style=\"font-family: 'courier new', courier, monospace;\">FileMap<\/span><\/td>\n<td style=\"width: 3.07503%;\">2<\/td>\n<td style=\"width: 14.1451%;\">Oui<\/td>\n<td style=\"width: 100.123%;\">R\u00e9pertorie le contenu du r\u00e9pertoire sp\u00e9cifi\u00e9<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.6913%;\"><span style=\"font-family: 'courier new', courier, monospace;\">RunUtility<\/span><\/td>\n<td style=\"width: 3.07503%;\">3<\/td>\n<td style=\"width: 14.1451%;\"><strong>Non<\/strong><\/td>\n<td style=\"width: 100.123%;\">N\/A<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.6913%;\"><span style=\"font-family: 'courier new', courier, monospace;\">EnterpriseChromeProfiles<\/span><\/td>\n<td style=\"width: 3.07503%;\">4<\/td>\n<td style=\"width: 14.1451%;\">Oui<\/td>\n<td style=\"width: 100.123%;\">R\u00e9cup\u00e8re les profils Chrome disponibles<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.6913%;\"><span style=\"font-family: 'courier new', courier, monospace;\">UploadFile<\/span><\/td>\n<td style=\"width: 3.07503%;\">5<\/td>\n<td style=\"width: 14.1451%;\">Oui<\/td>\n<td style=\"width: 100.123%;\">Exfiltre des artefacts et des identifiants sp\u00e9cifiques de Chrome<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.6913%;\"><span style=\"font-family: 'courier new', courier, monospace;\">OpenURL<\/span><\/td>\n<td style=\"width: 3.07503%;\">6<\/td>\n<td style=\"width: 14.1451%;\">Oui<\/td>\n<td style=\"width: 100.123%;\">Ouvre une nouvelle URL dans Chrome<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.6913%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Uninstall<\/span><\/td>\n<td style=\"width: 3.07503%;\">7<\/td>\n<td style=\"width: 14.1451%;\">Oui<\/td>\n<td style=\"width: 100.123%;\">Termine l\u2019ex\u00e9cution<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.6913%;\"><span style=\"font-family: 'courier new', courier, monospace;\">EnterpriseChromeBookmarks<\/span><\/td>\n<td style=\"width: 3.07503%;\">8<\/td>\n<td style=\"width: 14.1451%;\">Oui<\/td>\n<td style=\"width: 100.123%;\">Obtient les signets Chrome de l\u2019utilisateur sp\u00e9cifi\u00e9<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.6913%;\"><span style=\"font-family: 'courier new', courier, monospace;\">EnterpriseIslandProfiles<\/span><\/td>\n<td style=\"width: 3.07503%;\">9<\/td>\n<td style=\"width: 14.1451%;\">Oui<\/td>\n<td style=\"width: 100.123%;\">R\u00e9cup\u00e8re les profils Island disponibles<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.6913%;\"><span style=\"font-family: 'courier new', courier, monospace;\">UpdateIsland<\/span><\/td>\n<td style=\"width: 3.07503%;\">10<\/td>\n<td style=\"width: 14.1451%;\">Oui<\/td>\n<td style=\"width: 100.123%;\">Exfiltre le profil Island sp\u00e9cifi\u00e9<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 26.6913%;\"><span style=\"font-family: 'courier new', courier, monospace;\">ExfilAlreadyOpenChrome<\/span><\/td>\n<td style=\"width: 3.07503%;\">11<\/td>\n<td style=\"width: 14.1451%;\">Oui<\/td>\n<td style=\"width: 100.123%;\">Vide tous les cookies du profil Chrome actuel<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a05. T\u00e2ches pour les fonctions\u00a0C2 dans la variante .NET d\u2019Airstal<\/span><em>k.<\/em><\/p>\n<h4><a id=\"post-164821-_heading=h.qfq1cpa1guf3\"><\/a>Contr\u00f4le de version<\/h4>\n<p>La variante PowerShell d\u2019Airstalk n\u2019a pas de variable de version, mais la variante .NET a une variable sp\u00e9cifiant la version du malware. Nous avons trouv\u00e9 des \u00e9chantillons de la variante .NET d\u2019Airstalk utilisant les versions\u00a013 et\u00a014.<\/p>\n<h3><a id=\"post-164821-_heading=h.ibpcgqdetn87\"><\/a>Persistance<\/h3>\n<p>La variante PowerShell utilise une t\u00e2che planifi\u00e9e pour assurer sa persistance, qu\u2019elle supprime lors de l\u2019ex\u00e9cution de la t\u00e2che Uninstall, comme illustr\u00e9 \u00e0 la Figure\u00a015.<\/p>\n<figure id=\"attachment_164976\" aria-describedby=\"caption-attachment-164976\" style=\"width: 582px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164976 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-486398-164821-15.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un script informatique utilisant des commandes PowerShell, notamment les fonctions Remove-Item, Unregister-ScheduledTask et UploadResult au sein d\u2019un bloc conditionnel.\" width=\"582\" height=\"110\" \/><figcaption id=\"caption-attachment-164976\" class=\"wp-caption-text\">Figure 15. Code de d\u00e9sinstallation de la variante PowerShell d\u2019Airstalk.<\/figcaption><\/figure>\n<p>Cependant, la variante .NET d\u2019Airstalk ne dispose pas d\u2019un m\u00e9canisme de persistance. La variante .NET termine l\u2019ex\u00e9cution de son processus et d\u00e9finit un indicateur dans le terminal d\u2019API des attributs personnalis\u00e9s, comme illustr\u00e9 \u00e0 la Figure\u00a016.<\/p>\n<figure id=\"attachment_164987\" aria-describedby=\"caption-attachment-164987\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164987 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-488596-164821-16.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un extrait de code dans un \u00e9diteur de texte indiquant une erreur li\u00e9e \u00e0 la variable non affect\u00e9e &quot;client&quot;. Le code comprend des \u00e9l\u00e9ments types de la programmation C#, tels que l\u2019utilisation de la classe HttpClient et des m\u00e9thodes asynchrones.\" width=\"1000\" height=\"182\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-488596-164821-16.png 1541w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-488596-164821-16-786x143.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-488596-164821-16-768x140.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-488596-164821-16-1536x280.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164987\" class=\"wp-caption-text\">Figure 16. Code de d\u00e9sinstallation de la variante .NET d\u2019Airstalk.<\/figcaption><\/figure>\n<h3><a id=\"post-164821-_heading=h.9s0cehqgh0l6\"><\/a>Binaires sign\u00e9s et horodatages<\/h3>\n<p>Pour tenter d\u2019\u00e9chapper \u00e0 la d\u00e9tection, les binaires de la variante .NET d\u2019Airstalk sont sign\u00e9s \u00e0 l\u2019aide d\u2019un certificat (probablement vol\u00e9) sign\u00e9 par une autorit\u00e9 de certification valide\u00a0:<\/p>\n<ul>\n<li>Entreprise\u00a0: Aoteng Industrial Automation (Langfang) Co, Ltd.<\/li>\n<li>Ville\u00a0: Langfang<\/li>\n<li>R\u00e9gion\u00a0: Hebei<\/li>\n<li>Pays\u00a0: CN<\/li>\n<li>Num\u00e9ro de s\u00e9rie\u00a0: 2<span style=\"font-family: 'courier new', courier, monospace;\">9afb8d913db84fdb362f4fd927b8553<\/span><\/li>\n<li>Valide \u00e0 partir de\u00a0: Jun 28 10:04:49 2024 GMT<\/li>\n<li>Valide jusqu\u2019au\u00a0: Jun 28 03:29:37 2025 GMT<\/li>\n<\/ul>\n<p>Cependant, ce certificat a \u00e9t\u00e9 r\u00e9voqu\u00e9 environ 10\u00a0minutes apr\u00e8s sa date de d\u00e9but de validit\u00e9\u00a0:<\/p>\n<ul>\n<li>Date de r\u00e9vocation\u00a0: Jun 28 10:14:00 2024 GMT<\/li>\n<\/ul>\n<p>Nous avons trouv\u00e9 deux binaires PE utilis\u00e9s pour des tests, sign\u00e9s avec le m\u00eame certificat et ayant conserv\u00e9 les horodatages d\u2019origine, comme indiqu\u00e9 dans le Tableau 6.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 52.5467%;\"><strong>SHA256<\/strong><\/td>\n<td style=\"text-align: center; width: 15.5348%;\"><strong>Compil\u00e9<\/strong><\/td>\n<td style=\"text-align: center; width: 15.6197%;\"><strong>Sign\u00e9<\/strong><\/td>\n<td style=\"text-align: center; width: 15.365%;\"><strong>Premier envoi<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 52.5467%;\"><span style=\"font-family: 'courier new', courier, monospace;\">0c444624af1c9cce6532a6f88786840ebce6ed3df9ed570ac75e07e30b0c0bde<\/span><\/td>\n<td style=\"width: 15.5348%;\">2024-06-28 17:55:37 UTC<\/td>\n<td style=\"width: 15.6197%;\">2024-07-03 18:01:00 UTC<\/td>\n<td style=\"width: 15.365%;\">2024-07-03 18:03:26 UTC<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 52.5467%;\"><span style=\"font-family: 'courier new', courier, monospace;\">1f8f494cc75344841e77d843ef53f8c5f1beaa2f464bcbe6f0aacf2a0757c8b5<\/span><\/td>\n<td style=\"width: 15.5348%;\">2024-07-03 20:37:08 UTC<\/td>\n<td style=\"width: 15.6197%;\">2024-07-03 20:39:00 UTC<\/td>\n<td style=\"width: 15.365%;\">2024-07-03 20:43:31 UTC<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a06. Informations sur le test des binaires PE pour la variante .NET d\u2019Airstalk.<\/span><\/p>\n<p>Bien que l\u2019agent de menace \u00e0 l\u2019origine de CL-STA-1009 ait modifi\u00e9 les horodatages des binaires ult\u00e9rieurs de la variante .NET d\u2019Airstalk, nous pouvons \u00e9tablir une chronologie de d\u00e9veloppement en utilisant les horodatages sign\u00e9s, comme indiqu\u00e9 dans le tableau 7 ci\u2011dessous.<\/p>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><strong>SHA256<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Sign\u00e9<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Compil\u00e9<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>D\u00e9bogage<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Premier envoi<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Description<\/strong><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">dfdc27d81a6a21384d6dba7dcdc4c7f9348cf1bdc6df7521b886108b71b41533<\/span><\/td>\n<td>2024-07-17 20:00:00 UTC<\/td>\n<td>2055-04-06 21:31:42 UTC<\/td>\n<td>2039-09-07 07 17:14:59 UTC<\/td>\n<td>2024-12-17 16:58:53 UTC<\/td>\n<td>Variante .NET<\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">b6d37334034cd699a53df3e0bcac5bbdf32d52b4fa4944e44488bd2024ad719b<\/span><\/td>\n<td>2024-11-11 00:12:00 UTC<\/td>\n<td>2066-03-16 05:36:50 UTC<\/td>\n<td>2084-08-11 21:19:12 UTC<\/td>\n<td>2024-12-10 00:03:03 UTC<\/td>\n<td>Variante .NET<\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">4e4cbaed015dfbda3c368ca4442cd77a0a2d5e65999cd6886798495f2c29fcd5<\/span><\/td>\n<td>2024-11-14 00:21:00 UTC<\/td>\n<td>2097-03-02 00:38:35 UTC<\/td>\n<td>2089-11-27 15:10:05 2089 UTC<\/td>\n<td>2024-12-09 13:39:25 UTC<\/td>\n<td>Variante .NET<\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-family: 'courier new', courier, monospace;\">3a48ea6857f1b6ae28bd1f4a07990a080d854269b1c1563c9b2e330686eb23b5<\/span><\/td>\n<td>N\/A<\/td>\n<td>N\/A<\/td>\n<td>N\/A<\/td>\n<td>2025-01-02 17:35:47 UTC<\/td>\n<td>Variante PowerShell<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau 7. Chronologie du d\u00e9veloppement bas\u00e9e sur les horodatages sign\u00e9s.<\/span><\/p>\n<h2>Attribution et supply chain<\/h2>\n<p>D\u2019apr\u00e8s notre \u00e9valuation interne, nous estimons avec une confiance moyenne qu\u2019un agent de menace \u00e9tatique a utilis\u00e9 le malware Airstalk dans une attaque contre la supply chain. Nous suivons l\u2019activit\u00e9 identifi\u00e9e sous la forme d\u2019un cluster d\u2019activit\u00e9s que nous avons nomm\u00e9 CL\u2011STA\u20111009.<\/p>\n<p>Nous avons suivi un certain nombre d\u2019attaques contre la supply chain au cours des derni\u00e8res ann\u00e9es. Les attaques contre la supply chain ciblent les biens et services dont les organisations d\u00e9pendent pour leurs activit\u00e9s quotidiennes. La supply chain comprend le mat\u00e9riel constituant l\u2019infrastructure d\u2019une organisation, les services cloud de confiance pour g\u00e9rer les donn\u00e9es les plus sensibles, ainsi que le renfort de personnel sp\u00e9cialis\u00e9.<\/p>\n<p>Cette derni\u00e8re cat\u00e9gorie, g\u00e9n\u00e9ralement appel\u00e9e externalisation des processus m\u00e9tier (BPO), pr\u00e9sente un risque de dommages importants lorsqu\u2019elle est cibl\u00e9e par des attaquants. Le mat\u00e9riel et les logiciels peuvent \u00eatre surveill\u00e9s, contr\u00f4l\u00e9s et approvisionn\u00e9s. Cependant, les ressources humaines, en particulier les plus sp\u00e9cialis\u00e9es, doivent souvent se voir accorder un acc\u00e8s \u00e9tendu aux syst\u00e8mes m\u00e9tier critiques. En outre, elles travaillent souvent sur des \u00e9quipements manag\u00e9s par leur propre organisation. \u00c9tant g\u00e9r\u00e9s par le BPO, ces \u00e9quipements se trouvent effectivement hors de port\u00e9e de la majorit\u00e9 des contr\u00f4les de s\u00e9curit\u00e9 de votre organisation.<\/p>\n<p>Les organisations sp\u00e9cialis\u00e9es dans le BPO sont devenues des cibles lucratives tant pour les attaquants criminels que pour les acteurs \u00e9tatiques. Nous avons constat\u00e9 une augmentation notable des attaques ciblant les BPO, utilis\u00e9s comme point d\u2019intrusion dans les incidents observ\u00e9s au cours des derni\u00e8res ann\u00e9es.<\/p>\n<p>Les BPO tirent g\u00e9n\u00e9ralement parti des \u00e9conomies d\u2019\u00e9chelle pour mobiliser des talents tr\u00e8s sp\u00e9cialis\u00e9s qui servent plusieurs clients en m\u00eame temps. Si cela peut engendrer des \u00e9conomies importantes pour le BPO et ses clients, cela pr\u00e9sente l\u2019inconv\u00e9nient de transformer le BPO en porte d\u2019entr\u00e9e vers de multiples cibles. Les attaquants sont pr\u00eats \u00e0 investir massivement pour non seulement les compromettre, mais aussi maintenir un acc\u00e8s de fa\u00e7on ind\u00e9finie.<\/p>\n<h2><a id=\"post-164821-_heading=h.hl90qdm8iocg\"><\/a>Conclusion<\/h2>\n<p>CL-STA-1009 est un cluster d\u2019activit\u00e9s malveillantes repr\u00e9sentant l\u2019activit\u00e9 d\u2019un acteur \u00e9tatique pr\u00e9sum\u00e9. Ce cluster est associ\u00e9 au malware Airstalk, que nous consid\u00e9rons comme un attaquant de confiance moyenne utilis\u00e9 dans les attaques contre la supply chain.<\/p>\n<p>La variante .NET repr\u00e9sente une \u00e9volution du malware\u00a0: elle int\u00e8gre un protocole\u00a0C2 multi\u2011threads, du contr\u00f4le de version, du beaconing et des t\u00e2ches compos\u00e9es plus complexes. Ce malware utilise des techniques d\u2019\u00e9vasion, notamment des binaires sign\u00e9s avec un certificat r\u00e9voqu\u00e9, apparemment \u00e9mis \u00e0 une organisation l\u00e9gitime en 2024. Ces techniques incluent \u00e9galement la manipulation des horodatages du PE, m\u00eame si les horodatages de signature permettent d\u2019\u00e9tablir une chronologie des activit\u00e9s. Les capacit\u00e9s du malware et sa nature adaptative mettent en \u00e9vidence la menace persistante repr\u00e9sent\u00e9e par l\u2019acteur \u00e0 l\u2019origine de CL-STA-1009.<\/p>\n<p>Les techniques d\u2019\u00e9vasion employ\u00e9es par ce malware lui permettent de ne pas \u00eatre d\u00e9tect\u00e9 dans la plupart des environnements. Cela est particuli\u00e8rement vrai s\u2019il est ex\u00e9cut\u00e9 dans l\u2019environnement d\u2019un fournisseur tiers. Cette situation est particuli\u00e8rement d\u00e9sastreuse pour les organisations utilisant le BPO, car le vol de cookies de session de navigateur pourrait permettre l\u2019acc\u00e8s \u00e0 un grand nombre de leurs clients. Les captures d\u2019\u00e9cran vol\u00e9es et l\u2019enregistrement des frappes au clavier peuvent r\u00e9v\u00e9ler des informations sensibles et propri\u00e9taires, non seulement sur la victime, mais aussi sur les clients de celle\u2011ci.<\/p>\n<p>Une surveillance \u00e0 long terme permet \u00e0 un attaquant d\u00e9termin\u00e9 de comprendre le fonctionnement de l\u2019entreprise et la fa\u00e7on dont le prestataire BPO interagit habituellement avec ses clients, r\u00e9duisant ainsi les chances que des intrusions ult\u00e9rieures soient d\u00e9tect\u00e9es. La cl\u00e9 pour identifier et prot\u00e9ger les organisations contre ce type d\u2019attaques consiste \u00e0 \u00e9largir la s\u00e9curit\u00e9 au\u2011del\u00e0 des indicateurs classiques et du contr\u00f4le d\u2019acc\u00e8s, en comprenant comment les utilisateurs travaillent habituellement, tant en interne qu\u2019en externe.<\/p>\n<p>Cependant, les diff\u00e9rences de comportement entre un attaquant et vos utilisateurs habituels finiront par les trahir si vous savez quoi surveiller. Ce sont ces diff\u00e9rences que vous devez identifier et traiter \u00e0 l\u2019aide d\u2019outils de surveillance comportementale con\u00e7us pour rep\u00e9rer des anomalies subtiles.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s face au malware\u00a0Airstalk gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<ul>\n<li>Les mod\u00e8les de Machine\u00a0Learning d\u2019<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a> ont \u00e9t\u00e9 mis \u00e0 jour sur la base des indicateurs de compromission (IoC) identifi\u00e9s dans cette recherche.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> aident \u00e0 pr\u00e9venir les malwares \u00e0 l\u2019aide du <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">moteur de pr\u00e9vention des malwares<\/a>. Cette approche combine plusieurs couches de protection, dont <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a>, la protection comportementale contre les menaces et le module Local\u00a0Analysis afin de bloquer les malwares \u2013\u00a0connus ou non\u00a0\u2013 avant qu\u2019ils ne puissent impacter les terminaux.<\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">l\u2019\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 000 800 050 45107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-164821-_heading=h.qe7s8ysbth65\"><\/a>Indicateurs de compromission<\/h2>\n<table style=\"width: 101.219%;\">\n<tbody>\n<tr>\n<td style=\"width: 54.4638%; text-align: center;\"><strong>Indicateur<\/strong><\/td>\n<td style=\"width: 15.5173%; text-align: center;\"><strong>Type<\/strong><\/td>\n<td style=\"width: 53.2894%; text-align: center;\"><strong>Description<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 54.4638%;\"><span style=\"font-family: 'courier new', courier, monospace;\">0c444624af1c9cce6532a6f88786840ebce6ed3df9ed570ac75e07e30b0c0bde<\/span><\/td>\n<td style=\"width: 15.5173%;\">SHA256<\/td>\n<td style=\"width: 53.2894%;\">\u00c9chantillon de test sign\u00e9<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 54.4638%;\"><span style=\"font-family: 'courier new', courier, monospace;\">1f8f494cc75344841e77d843ef53f8c5f1beaa2f464bcbe6f0aacf2a0757c8b5<\/span><\/td>\n<td style=\"width: 15.5173%;\">SHA256<\/td>\n<td style=\"width: 53.2894%;\">\u00c9chantillon de test sign\u00e9<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 54.4638%;\"><span style=\"font-family: 'courier new', courier, monospace;\">dfdc27d81a6a21384d6dba7dcdc4c7f9348cf1bdc6df7521b886108b71b41533<\/span><\/td>\n<td style=\"width: 15.5173%;\">SHA256<\/td>\n<td style=\"width: 53.2894%;\">Exemple de la variante .NET d\u2019Airstalk<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 54.4638%;\"><span style=\"font-family: 'courier new', courier, monospace;\">b6d37334034cd699a53df3e0bcac5bbdf32d52b4fa4944e44488bd2024ad719b<\/span><\/td>\n<td style=\"width: 15.5173%;\">SHA256<\/td>\n<td style=\"width: 53.2894%;\">Exemple de la variante .NET d\u2019Airstalk<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 54.4638%;\"><span style=\"font-family: 'courier new', courier, monospace;\">4e4cbaed015dfbda3c368ca4442cd77a0a2d5e65999cd6886798495f2c29fcd5<\/span><\/td>\n<td style=\"width: 15.5173%;\">SHA256<\/td>\n<td style=\"width: 53.2894%;\">Exemple de la variante .NET d\u2019Airstalk<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 54.4638%;\"><span style=\"font-family: 'courier new', courier, monospace;\">3a48ea6857f1b6ae28bd1f4a07990a080d854269b1c1563c9b2e330686eb23b5<\/span><\/td>\n<td style=\"width: 15.5173%;\">SHA256<\/td>\n<td style=\"width: 53.2894%;\">Exemple de la variante PowerShell d\u2019Airstalk<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Certificat de signature de code\u00a0:<\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">-----BEGIN CERTIFICATE-----<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">MIIF\/DCCA+SgAwIBAgIQKa+42RPbhP2zYvT9knuFUzANBgkqhkiG9w0BAQsFADB7<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">MQswCQYDVQQGEwJVUzEOMAwGA1UECAwFVGV4YXMxEDAOBgNVBAcMB0hvdXN0b24x<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">ETAPBgNVBAoMCFNTTCBDb3JwMTcwNQYDVQQDDC5TU0wuY29tIEVWIENvZGUgU2ln<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">bmluZyBJbnRlcm1lZGlhdGUgQ0EgUlNBIFIzMB4XDTI0MDYyODEwMDQ0OVoXDTI1<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">MDYyODAzMjkzN1owgfkxCzAJBgNVBAYTAkNOMQ4wDAYDVQQIDAVIZWJlaTERMA8G<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">A1UEBwwITGFuZ2ZhbmcxOjA4BgNVBAoMMUFvdGVuZyBJbmR1c3RyaWFsIEF1dG9t<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">YXRpb24gKExhbmdmYW5nKSBDby4sIEx0ZC4xGzAZBgNVBAUTEjkxMTMxMDAwTUEw<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">QTNIRjhYOTE6MDgGA1UEAwwxQW90ZW5nIEluZHVzdHJpYWwgQXV0b21hdGlvbiAo<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">TGFuZ2ZhbmcpIENvLiwgTHRkLjEdMBsGA1UEDwwUUHJpdmF0ZSBPcmdhbml6YXRp<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">b24xEzARBgsrBgEEAYI3PAIBAxMCQ04wdjAQBgcqhkjOPQIBBgUrgQQAIgNiAASf<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">B2NdKWXwGa7DkmCA5NiX+kQh5JkYBjGKJgSRz5BflX\/Bo+\/pXKfN8fsUOe5J3k+y<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">v\/XX53ZiHRJMmpWSjEHXyDFHbBco1hksVLOoeaTFHx65sh5eysXxwD3bwn1IzSCj<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">ggGpMIIBpTAMBgNVHRMBAf8EAjAAMB8GA1UdIwQYMBaAFDa9Sf8xLOuvakD+mcAW<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">7br8SN1fMH0GCCsGAQUFBwEBBHEwbzBLBggrBgEFBQcwAoY\/aHR0cDovL2NlcnQu<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">c3NsLmNvbS9TU0xjb20tU3ViQ0EtRVYtQ29kZVNpZ25pbmctUlNBLTQwOTYtUjMu<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">Y2VyMCAGCCsGAQUFBzABhhRodHRwOi8vb2NzcHMuc3NsLmNvbTBfBgNVHSAEWDBW<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">MAcGBWeBDAEDMA0GCyqEaAGG9ncCBQEHMDwGDCsGAQQBgqkwAQMDAjAsMCoGCCsG<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">AQUFBwIBFh5odHRwczovL3d3dy5zc2wuY29tL3JlcG9zaXRvcnkwEwYDVR0lBAww<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">CgYIKwYBBQUHAwMwUAYDVR0fBEkwRzBFoEOgQYY\/aHR0cDovL2NybHMuc3NsLmNv<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">bS9TU0xjb20tU3ViQ0EtRVYtQ29kZVNpZ25pbmctUlNBLTQwOTYtUjMuY3JsMB0G<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">A1UdDgQWBBQdt2jU+7Pr64QrUIvuU1nojIqttzAOBgNVHQ8BAf8EBAMCB4AwDQYJ<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">KoZIhvcNAQELBQADggIBAMBeOg1geZaMToh9XVF2rrQQRXArYYQKi5svgEX6YcjC<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">ZljQZzBo8wIyvyyeJ7x33ThTTbPpukggrKE2p019jGjlKQMjWoA1leRatuyrMPVT<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">w5+Vs\/RCEogg1X\/n6wmvTUUNvLCv6iDgT3\/ZFrm7jIJKrwMkt\/HbuGE\/AB3w\/Hfk<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">tnDcWbMii58+HmuDbPRtfvKe1p9IZ6EbxdAVRrOg\/unECl4JC9gdzma0DbD6HhmY<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">AgaCEoqBds59ghNjN2y\/QpMiAvrUBpX6p4pJzIedj5cJ\/WID0QgalIWpOI18rRfP<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">Lkh6p02s5nmbSZKQQFtjPNCew65shUgCFdiV\/mnFVPbI76o4N41c2z+AEqODk6fI<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">QUEeCr8Ny\/Ro6ijXhycFvcN\/YS9mLeiZ43cyEx9iylGskYY7wbPUblzNAF5NzxuK<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">jp\/EBCUmCoj\/q43D2u\/ldB9ND4yaiaRmMMte8BVjSoU9xUUss7a5vft51ONTWtWS<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">O8Hbs4pnGcPCjewTdrgDqKYcLOPFN4M04kQHaQqQyQaY9Sff6\/2c16Sh4rmErluQ<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">lIbNggl4sHlpMObqSqPnkJy8ClBFr7ah7AH8k6hzyQheh1rXUtmK0TSCbywsLFfH<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">nGbFSa72+9mByBCUH3ckD+Nnv73dtRdH9\/M7+Oq+71BJQmMwmuMXPi450vTM4HIP<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">-----END CERTIFICATE-----<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur \u00e9tatique utilise le nouveau malware Airstalk dans des attaques sur la supply chain pour exfiltrer des donn\u00e9es de navigateurs. Airstalk d\u00e9tourne l'API AirWatch.<\/p>\n","protected":false},"author":366,"featured_media":163081,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8787,8832],"tags":[9777,9778,9779,9232,9780,9776],"product_categories":[8979,8955,9005,9041,9064,9068,9151],"coauthors":[3754,4188],"class_list":["post-164821","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware-fr","category-threat-research-fr","tag-net-fr","tag-cl-sta-1009-fr","tag-malicious-powershell-scripts-fr","tag-powershell-fr","tag-supply-chain-attack-fr","tag-windows-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-code-to-cloud-platform-fr","product_categories-cortex-fr","product_categories-cortex-xsiam-fr","product_categories-cortex-xsoar-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Un agent de menace \u00e9tatique pr\u00e9sum\u00e9 utilise le nouveau malware Airstalk pour attaquer la supply chain<\/title>\n<meta name=\"description\" content=\"Un acteur \u00e9tatique utilise le nouveau malware Airstalk dans des attaques sur la supply chain pour exfiltrer des donn\u00e9es de navigateurs. Airstalk d\u00e9tourne l&#039;API AirWatch.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Un agent de menace \u00e9tatique pr\u00e9sum\u00e9 utilise le nouveau malware Airstalk pour attaquer la supply chain\" \/>\n<meta property=\"og:description\" content=\"Un acteur \u00e9tatique utilise le nouveau malware Airstalk dans des attaques sur la supply chain pour exfiltrer des donn\u00e9es de navigateurs. Airstalk d\u00e9tourne l&#039;API AirWatch.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-10-29T13:19:03+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-11-11T15:10:07+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/07_Security-Technology_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Kristopher Russo, Chema Garcia\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Un agent de menace \u00e9tatique pr\u00e9sum\u00e9 utilise le nouveau malware Airstalk pour attaquer la supply chain","description":"Un acteur \u00e9tatique utilise le nouveau malware Airstalk dans des attaques sur la supply chain pour exfiltrer des donn\u00e9es de navigateurs. Airstalk d\u00e9tourne l'API AirWatch.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/","og_locale":"fr_FR","og_type":"article","og_title":"Un agent de menace \u00e9tatique pr\u00e9sum\u00e9 utilise le nouveau malware Airstalk pour attaquer la supply chain","og_description":"Un acteur \u00e9tatique utilise le nouveau malware Airstalk dans des attaques sur la supply chain pour exfiltrer des donn\u00e9es de navigateurs. Airstalk d\u00e9tourne l'API AirWatch.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/","og_site_name":"Unit 42","article_published_time":"2025-10-29T13:19:03+00:00","article_modified_time":"2025-11-11T15:10:07+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/07_Security-Technology_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Kristopher Russo, Chema Garcia","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Un agent de menace \u00e9tatique pr\u00e9sum\u00e9 utilise le nouveau malware Airstalk pour attaquer la supply chain","datePublished":"2025-10-29T13:19:03+00:00","dateModified":"2025-11-11T15:10:07+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/"},"wordCount":4411,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/07_Security-Technology_Category_1920x900.jpg","keywords":[".NET","CL-STA-1009","Malicious PowerShell scripts","PowerShell","supply-chain attack","Windows"],"articleSection":["Malware","Recherche sur les menaces"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/","name":"Un agent de menace \u00e9tatique pr\u00e9sum\u00e9 utilise le nouveau malware Airstalk pour attaquer la supply chain","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/07_Security-Technology_Category_1920x900.jpg","datePublished":"2025-10-29T13:19:03+00:00","dateModified":"2025-11-11T15:10:07+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Un acteur \u00e9tatique utilise le nouveau malware Airstalk dans des attaques sur la supply chain pour exfiltrer des donn\u00e9es de navigateurs. Airstalk d\u00e9tourne l'API AirWatch.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/07_Security-Technology_Category_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/07_Security-Technology_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of Airstalk malware. A person typing on a laptop with digital graphics of binary code and light beams emanating from the screen, representing data transfer or cyber activity."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/new-windows-based-malware-family-airstalk\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Un agent de menace \u00e9tatique pr\u00e9sum\u00e9 utilise le nouveau malware Airstalk pour attaquer la supply chain"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/164821","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=164821"}],"version-history":[{"count":2,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/164821\/revisions"}],"predecessor-version":[{"id":165128,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/164821\/revisions\/165128"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/163081"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=164821"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=164821"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=164821"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=164821"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=164821"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}