Depuis avril 2024, un groupe de hackers affilié à la Turquie a exploité une faille zero-day sur Output Messenger, un outil de communication d’entreprise développé par une société indienne. Cette faille de sécurité a permis l’installation de portes dérobées en Golang sur des serveurs utilisés par des entités kurdes en Irak, dans le cadre d’une campagne sophistiquée de cyberguerre et d’espionnage.
Une faille zero-day dans Output Messenger ciblant les infrastructures kurdes
Exploitation de la vulnérabilité CVE-2025-27920
La faille CVE-2025-27920 est une vulnérabilité de parcours de répertoire (directory traversal) affectant la version 2.0.62 d’Output Messenger. Elle permet à un attaquant distant authentifié d’accéder à des fichiers arbitraires ou d’exécuter du code malveillant. Cette vulnérabilité a été corrigée fin décembre 2024 dans la version 2.0.63, bien que l’éditeur, Srimax, n’ait pas mentionné d’exploitation active dans son avis de sécurité.
Selon les déclarations de Microsoft Threat Intelligence, l’exploitation de cette faille visait spécifiquement des infrastructures associées aux forces militaires kurdes en Irak, confirmant les priorités de ciblage historiquement observées pour ce groupe.
Des techniques d’attaque avancées au service de l’espionnage
Le groupe de menace à l’origine de cette attaque, nommé Marbled Dust (aussi connu sous les noms de Cosmic Wolf, Sea Turtle, Teal Kurma et UNC1326), est actif depuis au moins 2017. Il utilise une combinaison de techniques, notamment le DNS hijacking et les domaines typosquattés, afin d’intercepter les identifiants des victimes et d’obtenir un accès authentifié aux systèmes ciblés.
Après s’être connecté au Output Messenger Server Manager, les cybercriminels déposent plusieurs fichiers malveillants comme OM.vbs, OMServerService.vbs et OMServerService.exe. Ce dernier est une porte dérobée développée en Golang qui se connecte à un domaine codé en dur (api.wordinfos[.]com) pour exfiltrer des données sensibles.
Client compromis et attaque persistante via backdoor Golang
Un exécutable dissimulé dans le client Output Messenger
Sur le poste client, l’installeur officiel a été détourné pour exécuter silencieusement une backdoor Golang nommée OMClientService.exe. Cette porte dérobée réalise une vérification de connectivité via une requête GET vers un serveur C2, puis envoie des informations système permettant d’identifier spécifiquement la machine infectée. Le serveur de commande renvoie alors une réponse exécutée via cmd /c, indiquant une exécution directe en ligne de commande Windows.
Microsoft a observé un cas concret où un client Output Messenger s’est connecté à une IP utilisée par Marbled Dust pour exfiltrer des données, ce qui confirme l’efficacité de cette attaque au niveau des postes utilisateurs.
Découverte d’une seconde vulnérabilité non encore exploitée
En parallèle, une faille XSS réfléchie (CVE-2025-27921) a également été découverte dans la même version vulnérable de l’application. Bien qu’aucune exploitation de cette faille n’ait été détectée à ce jour, sa présence renforce l’importance de maintenir les logiciels internes à jour face aux cybermenaces ciblées.
Une montée en puissance des capacités offensives de Marbled Dust
Une sophistication accrue des attaques d’espionnage
La capacité du groupe à utiliser une faille zero-day inédite témoigne d’un niveau technique en progression pour mener des attaques de cybersurveillance ciblée. Microsoft estime par ailleurs que Marbled Dust a probablement mené une phase de reconnaissance préalable pour identifier les victimes utilisant Output Messenger, ce qui leur a permis de calibrer finement leurs attaques.
Pour ceux qui souhaitent mieux comprendre ces techniques, identifier les schémas d’attaque et apprendre les méthodes utilisées par les groupes APT, il est recommandé de consulter notre livre pour apprendre à hacker. Ce guide propose une immersion concrète dans les outils, les failles et les gestes techniques utilisés dans les campagnes de cyberespionnage modernes.
Objectifs géopolitiques et priorités de surveillance
L’évolution observée dans cette attaque suggère un basculement vers des objectifs d’espionnage plus stratégiques. Les infrastructures critiques, les organisations militaires et les prestataires IT opérant dans des zones sensibles comme le Kurdistan irakien deviennent des cibles privilégiées. Cette campagne met en lumière le danger représenté par les failles zero-day et la nécessité d’une vigilance constante.
Nos services de cybersécurité chez CyberCare accompagnent les organisations dans l’identification des vulnérabilités, la détection de comportements anormaux et la protection proactive contre les attaques ciblées de type APT.
