

Des chercheurs de Kaspersky ont documenté en juin 2026 une campagne active distribuant des fichiers Visual Basic Script (VBScript) via WhatsApp Desktop et WhatsApp Web dans onze pays. Une fois exécutés, ces fichiers déclenchent une chaîne d'infection en plusieurs étapes qui aboutit à l'installation silencieuse de ManageEngine RMM Central, un outil d'administration à distance légitime transformé en vecteur d'accès persistant par les attaquants. La campagne présente une géographie large, avec la Malaisie comme principal foyer d'infection, et des chevauchements d'infrastructure avec des activités passées attribuées aux familles de malwares Gh0st RAT et ValleyRAT. L'identité des opérateurs derrière la campagne reste à ce stade non établie.
WhatsApp compte plus de deux milliards d'utilisateurs actifs et bénéficie d'un niveau de confiance implicite que les canaux de distribution malveillants traditionnels peinent à imiter. Lorsqu'un fichier arrive via WhatsApp, l'utilisateur le perçoit comme provenant d'un contact connu ou d'un réseau de confiance, une perception qui réduit son niveau de vigilance par rapport à une pièce jointe e-mail d'un expéditeur inconnu. Cette confiance implicite est précisément ce que les attaquants exploitent dans cette campagne.
La distribution via WhatsApp introduit également une contrainte technique avantageuse pour les attaquants : WhatsApp affiche un aperçu limité des fichiers partagés, sans permettre une inspection facile du contenu avant téléchargement. Un fichier nommé "Financial Reports.vbs" ou "Account Statement.vbs" présente l'apparence d'un document professionnel sans que le destinataire puisse facilement vérifier sa nature réelle avant de l'ouvrir. Sur WhatsApp Desktop spécifiquement, le comportement d'exécution est encore plus direct : l'application elle-même lance l'exécutable via son processus parent, sans l'étape de téléchargement visible dans un navigateur qui pourrait alerter un utilisateur attentif.
Selon les chercheurs de Kaspersky, les attaquants ont vraisemblablement obtenu un accès non autorisé à plusieurs comptes WhatsApp pour les utiliser comme vecteurs de distribution vers leurs contacts. La méthode exacte de compromission initiale de ces comptes WhatsApp n'a pas été déterminée. Une fois ces comptes sous contrôle, ils deviennent des canaux de distribution crédibles car les messages semblent provenir d'une personne connue du destinataire, augmentant significativement la probabilité que le fichier soit ouvert.
Les fichiers VBScript utilisés dans cette campagne sont conçus pour ressembler à des documents professionnels légitimes. Les noms de fichiers identifiés par Kaspersky incluent "Financial Reports.vbs" et "Account Statement.vbs", des intitulés qui évoquent des documents comptables ou financiers que n'importe quel employé pourrait recevoir dans un contexte professionnel. Des variantes en plusieurs langues ont également été identifiées : portugais, français, allemand et malais, confirmant la dimension internationale et préméditée de la campagne.
L'obfuscation des fichiers VBScript eux-mêmes est extensive. Les chercheurs de Kaspersky ont constaté que les échantillons contiennent des commentaires et des métadonnées abondants destinés à imiter des composants Windows Update légitimes de Microsoft. Ces commentaires, rédigés pour beaucoup en chinois, font référence à des modules Windows Update, à la validation de certificats, à des vérifications de l'intégrité système, et à des fonctionnalités liées au déploiement. Cette technique est conçue pour tromper à la fois les utilisateurs qui inspecteraient le code et les outils d'analyse automatisée qui cherchent des indicateurs de malveillance dans le contenu des scripts.
La présence de commentaires en chinois dans les métadonnées des scripts ne constitue pas en soi un indicateur d'attribution. Cette technique peut être utilisée délibérément pour induire en erreur les équipes d'investigation. Kaspersky a précisé que l'activité reste non attribuée à ce stade, et que les chevauchements d'infrastructure observés représentent une piste d'enquête plutôt qu'une attribution formelle.
La chaîne d'infection présente des différences comportementales selon que la victime utilise WhatsApp Desktop ou WhatsApp Web, une distinction que les chercheurs de Kaspersky ont documentée avec précision.
Dans le cas de WhatsApp Web, l'infection nécessite que l'utilisateur télécharge le fichier VBScript et l'exécute manuellement, soit depuis le dossier de téléchargements, soit depuis l'historique de téléchargements du navigateur. Cette étape supplémentaire d'exécution manuelle crée une opportunité pour un utilisateur attentif de reconnaître l'extension .vbs comme inhabituellement exécutable pour un document. Cependant, dans un contexte professionnel où l'utilisateur attend un document financier d'un contact connu, cette vigilance est rarement activée.
Dans le cas de WhatsApp Desktop, le comportement est qualitativement différent et plus préoccupant. L'arbre de processus observé par Kaspersky révèle que c'est "WhatsApp.Root.exe", le processus parent de l'application cliente WhatsApp Desktop, qui lance directement "WScript.exe", l'interpréteur Windows pour les scripts VBScript. L'utilisateur n'a pas à effectuer d'action manuelle d'exécution séparée : l'ouverture du fichier dans l'application déclenche directement la chaîne d'infection. Cette différence fait de WhatsApp Desktop un vecteur d'infection de moindre résistance que WhatsApp Web pour cette campagne spécifique.
Quelle que soit la variante (Desktop ou Web), l'exécution initiale du fichier VBScript déclenche "WScript.exe", qui récupère ensuite et exécute des composants VBScript supplémentaires requis pour les étapes suivantes de l'attaque depuis un serveur distant. Cette architecture en plusieurs niveaux est conçue pour que le fichier initial ne contienne pas directement le payload final, compliquant son analyse statique.
Les chercheurs ont identifié deux charges secondaires VBScript distinctes téléchargées lors de cette phase. La première cible le comportement du Contrôle de Compte Utilisateur (UAC) de Windows. Le Contrôle de Compte Utilisateur est le mécanisme de sécurité Windows qui requiert une confirmation explicite avant qu'une application n'effectue des modifications nécessitant des privilèges élevés. Sa modification ou contournement permet aux étapes suivantes de l'infection de s'exécuter avec des privilèges élargis sans déclencher d'invite de confirmation visible pour l'utilisateur.
La seconde charge secondaire télécharge et exécute une archive ZIP contenant le package d'installation de ManageEngine RMM Central. Cette archive arrive depuis l'infrastructure de commande et contrôle des attaquants et s'installe sur le système de la victime lors de son extraction et exécution. L'ensemble de la séquence, de l'ouverture initiale du fichier VBScript à l'installation complète de ManageEngine RMM Central, se produit sans que l'utilisateur soit alerté d'une installation de logiciel en cours.
ManageEngine RMM Central est un outil de gestion et d'administration à distance légitime, développé par Zoho Corporation, largement utilisé par les équipes informatiques pour gérer à distance des postes de travail et des serveurs d'entreprise. Son utilisation par des acteurs malveillants comme payload final illustre une tendance documentée : l'abus d'outils d'administration légitimes ("living off the land") pour maintenir un accès persistant tout en évitant les détections basées sur les signatures de malwares.
Un outil RMM légitime installé sur un poste de travail ne déclenche généralement pas d'alerte dans les solutions d'antivirus ou de détection et réponse aux incidents (EDR) qui reconnaissent ManageEngine comme un outil commercial légitime. L'attaquant qui contrôle l'instance RMM bénéficie des mêmes capacités qu'un administrateur informatique légitime : accès au terminal de commande à distance, transfert de fichiers dans les deux sens, capture d'écran, surveillance des processus en cours, et potentiellement accès aux credentials stockés sur le système.
Pour les équipes de sécurité, la présence de ManageEngine RMM Central sur un poste de travail sur lequel aucune installation n'a été autorisée est un indicateur de compromission fort. La surveillance des processus parents inhabituels, notamment WScript.exe engendrant des processus d'installation, et des connexions réseau sortantes vers des domaines ManageEngine depuis des hôtes pour lesquels aucun accès administrateur à distance n'a été configuré, sont les signaux de détection les plus directs disponibles pour cette campagne. La surveillance des indicateurs de compromission associés à cette campagne est essentielle pour une détection précoce.
Kaspersky a identifié des chevauchements d'infrastructure entre l'adresse IP "202.61.160[.]201" utilisée dans cette campagne et des activités passées liées à Gh0st RAT et ValleyRAT. Gh0st RAT est un outil d'accès à distance dont le code source a été publié en 2008 et qui a depuis été utilisé par de nombreux acteurs distincts, ce qui en fait un indicateur d'infrastructure partagée ou de réutilisation de code plutôt qu'une attribution à un groupe spécifique. ValleyRAT est un malware plus récent documenté depuis 2023, associé à des campagnes ciblant des secteurs variés en Asie et au-delà.
Les chevauchements d'infrastructure signifient que la même adresse IP ou la même infrastructure réseau a été utilisée dans plusieurs campagnes distinctes. Cela peut indiquer que les mêmes acteurs sont responsables de plusieurs campagnes, ou que des opérateurs différents partagent ou recyclent des ressources d'infrastructure. Sans éléments d'attribution supplémentaires, les chevauchements d'infrastructure constituent un signal d'enquête plutôt qu'une preuve d'attribution. Kaspersky a maintenu sa position d'activité non attribuée, ce qui reflète une rigueur analytique appropriée face à des données d'infrastructure ambigues.
Les onze pays identifiés par Kaspersky comme cibles de la campagne sont : la Malaisie, le Brésil, l'Inde, le Mexique, Singapour, le Royaume-Uni, l'Espagne, Taïwan, l'Australie, la Russie et le Vietnam. La Malaisie présente la concentration de victimes la plus élevée. Cette répartition géographique large, combinée à des fichiers VBScript disponibles en plusieurs langues, indique une campagne délibérément conçue pour toucher des utilisateurs dans des contextes linguistiques et culturels différents plutôt qu'une opération ciblant un seul pays ou secteur.
La prédominance de la Malaisie comme principal foyer d'infection peut refléter plusieurs facteurs : une concentration plus élevée d'utilisateurs WhatsApp professionnels dans ce pays par rapport aux autres cibles, une plus grande proportion de comptes WhatsApp compromis au sein du réseau de contacts malaisiens, ou simplement le fait que la campagne a commencé en Malaisie avant de s'étendre à d'autres régions. L'absence d'attribution formelle rend toute explication des différences de distribution géographique spéculative à ce stade.
L'utilisation d'outils de gestion à distance légitimes comme payload final dans des campagnes malveillantes est une tendance qui s'est accélérée significativement depuis 2022. Des incidents documentés ont impliqué AnyDesk, TeamViewer, ConnectWise ScreenConnect et diverses solutions RMM d'entreprise comme vecteurs d'accès persistant dans des campagnes allant du ransomware à l'espionnage. ManageEngine RMM Central s'inscrit dans cette tendance.
L'avantage opérationnel pour l'attaquant est double. Premièrement, les outils RMM légitimes ne déclenchent généralement pas d'alertes dans les solutions de sécurité qui reconnaissent ces outils comme légitimes, contrairement à un malware personnalisé qui déclencherait des détections basées sur les signatures. Deuxièmement, les outils RMM offrent une interface d'administration complète que les équipes informatiques ont conçue pour être fonctionnelle et stable sur le long terme, ce qui en fait une plateforme d'accès persistant plus fiable qu'un shell inversé ou un RAT personnalisé qui peut être interrompu par des mises à jour de sécurité ou des redémarrages système.
Pour les organisations, cette tendance implique que la détection basée sur les signatures de malwares connus est insuffisante pour identifier les accès non autorisés qui utilisent des outils légitimes. La surveillance comportementale, notamment la détection de ManageEngine RMM Central installé via un processus parent inhabituel comme WScript.exe, et l'inventaire des outils d'accès à distance autorisés sur chaque poste, sont des contrôles de détection plus efficaces. Comprendre l'étendue de sa surface d'exposition inclut nécessairement l'inventaire des outils d'administration à distance actifs sur les postes de travail.
La première priorité pour les équipes de sécurité est de bloquer l'exécution de fichiers .vbs reçus via des applications de messagerie. Les fichiers VBScript ne sont jamais des documents légitimes : ils sont des scripts exécutables. Une politique de restriction logicielle (Software Restriction Policy ou AppLocker) qui empêche l'exécution de fichiers .vbs, .vbe, .js et .ps1 depuis les répertoires de téléchargements et les profils utilisateurs réduit directement la surface d'attaque exploitée par cette campagne.
Au niveau de la détection, les signaux à surveiller incluent : les processus WScript.exe ou cscript.exe lancés par des applications de messagerie (WhatsApp, Teams, Slack), les connexions réseau sortantes vers des serveurs de téléchargement depuis des processus de scripting, l'installation de ManageEngine RMM Central sur des postes qui ne figurent pas dans l'inventaire des systèmes administrés à distance, et les modifications du registre Windows relatives au comportement de l'UAC effectuées par des processus non système.
L'adresse IP "202.61.160[.]201" identifiée dans la campagne peut être bloquée au niveau des pare-feu et des proxies comme mesure préventive immédiate. Cette action est réversible et élimine une voie de téléchargement documentée sans impact sur les activités légitimes. La surveillance des renseignements sur les menaces pour identifier les domaines et adresses IP supplémentaires associés à la campagne permet d'étendre ces blocages au fur et à mesure que de nouvelles infrastructures sont documentées.
Kaspersky estime que les attaquants ont obtenu un accès non autorisé à plusieurs comptes WhatsApp et les ont utilisés comme vecteurs de distribution vers leurs contacts. La méthode exacte de compromission initiale de ces comptes n'a pas été déterminée. Les hypothèses possibles incluent l'utilisation de credentials WhatsApp volés, l'exploitation de sessions WhatsApp Web non déconnectées, ou l'accès à des appareils compromis par d'autres moyens. La difficulté à identifier la méthode initiale est cohérente avec une campagne conçue pour minimiser ses traces.
WScript.exe est l'interpréteur Windows natif pour les fichiers VBScript. Son utilisation permet d'exécuter des scripts VBScript directement sans invoquer PowerShell, qui est soumis à des politiques d'exécution de scripts configurables et fait l'objet d'une surveillance plus intensive dans les environnements d'entreprise. De nombreuses organisations ont des règles de détection spécifiques pour les téléchargements initiés par PowerShell ; utiliser WScript.exe pour les premières étapes de l'infection contourne ces règles tout en permettant d'appeler PowerShell dans les étapes ultérieures de manière moins directement visible.
Non. ManageEngine RMM Central est un outil légitime qui, utilisé par des équipes informatiques autorisées, représente un outil d'administration standard. Le risque documenté dans cette campagne concerne son installation non autorisée sur des systèmes de victimes, permettant aux attaquants de bénéficier des mêmes capacités d'administration à distance que celles d'un administrateur légitime. Les organisations qui utilisent ManageEngine RMM Central de manière légitime doivent s'assurer que leurs instances sont correctement sécurisées et que toute installation de l'outil sur des postes qui n'en sont pas équipés est alertée immédiatement.
La distinction se fait principalement via le processus parent qui a déclenché l'installation. Une installation légitime provient généralement d'un processus d'administration informatique autorisé (installateur en double-clique par un administrateur, déploiement via un outil de gestion de configuration). Dans cette campagne, l'installation est déclenchée par WScript.exe, qui a lui-même été lancé par WhatsApp.Root.exe ou par un autre processus VBScript. La surveillance des arbres de processus pour les installations de logiciels RMM est le contrôle de détection le plus fiable.
Les fichiers VBScript légitimes existent et sont utilisés dans des contextes d'administration Windows. Les solutions antivirus basées sur les signatures peuvent identifier les échantillons malveillants connus, mais les fichiers obfusqués et nouvellement créés comme ceux de cette campagne peuvent passer entre les mailles des détections basées sur les signatures. Les solutions de détection et réponse aux incidents (EDR) avec capacités comportementales sont plus efficaces pour détecter l'activité suspecte générée par ces scripts après leur exécution, notamment les connexions réseau, les téléchargements et les modifications de configuration.
Le lien est un chevauchement d'infrastructure : l'adresse IP "202.61.160[.]201" utilisée dans la présente campagne a également été associée à des activités passées impliquant Gh0st RAT et ValleyRAT. Ce chevauchement est un indicateur d'enquête qui peut signifier que les mêmes acteurs sont impliqués dans plusieurs campagnes, ou que des acteurs distincts partagent des ressources d'infrastructure. L'activité reste non attribuée à un groupe spécifique. Il convient de ne pas inférer d'attribution formelle à partir de chevauchements d'infrastructure seuls.
Oui, si WhatsApp est accessible sur les appareils d'entreprise, que ce soit via WhatsApp Desktop, WhatsApp Web depuis un navigateur d'entreprise, ou sur des appareils mobiles gérés. La politique la plus directe consiste à restreindre l'accès à WhatsApp sur les appareils et réseaux d'entreprise. Si WhatsApp est nécessaire pour des raisons professionnelles, une politique de restriction de l'exécution de fichiers .vbs, .vbe, .js et d'autres types de scripts depuis les répertoires de téléchargements est la mesure compensatoire la plus efficace.
Ce type de menace illustre un problème structurel : les informations critiques sur une campagne active circulent d'abord dans des canaux fermés, forums clandestins et groupes Telegram privés, avant d'atteindre les équipes de sécurité par les canaux habituels. Le temps perdu dans cet écart est souvent celui où l'exploitation est la plus active.
Defendis surveille ces sources en continu. Votre équipe reçoit des signaux d'alerte pertinents avant que l'incident ne devienne public, avec le contexte nécessaire pour agir : nature de la menace, infrastructure associée, secteurs ciblés. Sans que vos analystes aient à patrouiller eux-mêmes dans des espaces qu'ils ne devraient pas avoir à fréquenter.