Close-up view of colorful programming code on a screen, ideal for tech and development themes.
News

QuimaRAT : le RAT Java multiplateforme vendu en MaaS avec 74 modules Windows et plugins dynamiques chiffrés

QuimaRAT est un RAT Java multiplateforme vendu en MaaS dès 150 dollars par mois avec 74 modules Windows et plugins chiffrés dynamiques. Analyse technique.
Sara Amin
Marketing Student • Content & Writing Enthusiast

Un outil d'accès distant proposé à 150 dollars par mois, compatible Windows, Linux et macOS, livré avec 74 modules pour Windows et 46 pour les autres plateformes, un builder qui génère des exécutables natifs pour chaque système cible, et une architecture de plugins chiffrés dynamiques qui permet de charger et décharger des fonctionnalités à la volée depuis le serveur de commande et contrôle. C'est la proposition commerciale de QuimaRAT, un outil de type Malware-as-a-Service documenté par les chercheurs de LevelBlue.

QuimaRAT représente l'évolution du marché des RAT commerciaux vers une couverture multiplateforme complète et une modularité poussée. Là où les outils plus anciens comme njRAT ou AsyncRAT ciblent exclusivement Windows avec un ensemble fixe de fonctionnalités, QuimaRAT propose une architecture extensible où les capacités peuvent être mises à jour, ajoutées, ou supprimées par l'opérateur sans nécessiter de recompilation du client. Cette flexibilité réduit significativement la surface de détection statique : les signatures antivirus construites sur la présence de modules spécifiques deviennent moins efficaces quand ces modules ne sont chargés que ponctuellement et en mémoire uniquement.

Architecture Technique : Java, Maven et JNA

Le choix de Java comme langage de base de QuimaRAT est une décision architecturale délibérée avec des implications de sécurité directes. Java compile en bytecode exécuté par la JVM (Java Virtual Machine), qui est disponible sur Windows, Linux et macOS. Un unique binaire JAR peut s'exécuter sur les trois systèmes sans recompilation, ce qui simplifie considérablement la maintenance de l'outil pour son développeur et son déploiement par les opérateurs.

QuimaRAT utilise Apache Maven comme système de gestion de dépendances et de construction. Maven est un outil légitime universellement utilisé dans le développement Java d'entreprise. Son usage dans QuimaRAT signifie que l'infrastructure de développement de l'outil est indistinguable de celle d'un projet logiciel légityme, ce qui complique la détection par des outils de sécurité qui analysent les environnements de développement.

L'accès aux fonctionnalités de bas niveau du système d'exploitation, nécessaire pour des opérations comme la capture d'écran, la surveillance des entrées clavier, ou la manipulation de processus, est assuré par Java Native Access (JNA). JNA est une bibliothèque Java légitime qui permet d'appeler directement des API natives du système d'exploitation sans écrire de code JNI (Java Native Interface). Elle est utilisée dans de nombreux logiciels légitimes. Sa présence dans un binaire Java est donc un signal insuffisant à lui seul pour conclure à une activité malveillante.

La Suite Quima : Quatre Composants

QuimaRAT n'est pas un outil unique mais une suite de quatre composants distincts, chacun remplissant un rôle spécifique dans le cycle d'attaque.

Quima Builder est l'outil de configuration et de génération des clients. L'opérateur y définit l'adresse du serveur C2, les options de persistence, les modules à inclure dans le client initial, et le format de sortie : JAR pour Java natif, EXE pour Windows (via un wrapper), APP pour macOS, ou scripts SH, BAT, VBS pour des déploiements spécifiques. Le Builder produit un binaire personnalisé pour chaque campagne ou cible.

Quima Control est le panneau d'administration central. L'opérateur y voit en temps réel toutes les machines infectées qui se connectent au serveur C2, peut interagir avec chaque session individuellement, et orchestre le déploiement des modules supplémentaires. L'interface expose les informations système de chaque victime : nom d'hôte, système d'exploitation, adresse IP, privilèges disponibles, et modules actifs.

Quima Dropper est le mécanisme d'installation initiale. Il dépose le client QuimaRAT sur la machine cible et établit la persistence. La méthode de persistence varie selon le système : tâches planifiées et clés de registre Run sur Windows, LaunchAgents et LaunchDaemons sur macOS, cron jobs et fichiers de service systemd sur Linux.

Quima Loader est le composant de distribution qui mérite une attention particulière. Il utilise le cache du navigateur comme vecteur de livraison : le logiciel malveillant initial est stocké dans les fichiers de cache que les navigateurs maintiennent pour accélérer le chargement des pages. Cette technique permet de contourner certains mécanismes de détection qui analysent les téléchargements explicites mais ne surveillent pas les fichiers créés via les mécanismes de cache. Quima Loader utilise des pages de faux CAPTCHA et de fausses mises à jour logicielles comme mécanismes de distribution sociale, incitant l'utilisateur à exécuter un script PowerShell ou un fichier HTA qui déclenche l'installation. Il inclut une technique de contournement de Windows SmartScreen, le mécanisme de protection contre les téléchargements non reconnus de Windows.

Les 74 Modules Windows

Le catalogue de 74 modules Windows de QuimaRAT couvre l'ensemble des capacités attendues d'un RAT professionnel : accès au système de fichiers avec lecture, écriture, création, suppression et exfiltration ; capture d'écran continue ou à la demande ; enregistrement des frappes clavier avec filtrage par fenêtre active ; capture audio via les microphones disponibles ; accès à la webcam ; extraction de mots de passe depuis les navigateurs Chrome, Firefox, Edge et leurs dérivés ; extraction de portefeuilles de cryptomonnaies ; accès au contenu du presse-papiers ; exécution de commandes shell arbitraires ; gestionnaire de processus permettant de lister, suspendre et terminer des processus ; et gestionnaire de services Windows.

Les 46 modules macOS et Linux couvrent un sous-ensemble adapté : les opérations sur fichiers, la capture d'écran, l'enregistrement clavier, l'exécution de commandes, et l'exfiltration de navigateurs. La capture vidéo et l'accès aux entrées utilisateur sur macOS requièrent des permissions explicitement accordées par l'utilisateur dans les préférences de confidentialité du système, une contrainte de sécurité macOS qui limite ces modules sur des cibles qui n'ont pas accordé ces permissions au processus Java.

Le Modèle Commercial et les Implications de Détection

La tarification de QuimaRAT est structurée pour maximiser l'accessibilité : 150 dollars par mois, 300 pour trois mois, 500 pour six mois, 700 pour douze mois, et 1 200 dollars pour une licence à vie. Ces prix sont délibérément bas comparés aux outils RAT précédents du marché clandestin. À 150 dollars par mois, l'outil est financièrement accessible à un très large spectre d'acteurs malveillants, des opérateurs de fraudes financières aux groupes de ransomware cherchant un outil de reconnaissance initial.

L'architecture MaaS avec plugins dynamiques a une implication directe sur la détection. Les signatures antivirales statiques sont construites sur des patterns présents dans les fichiers à l'intérieur du binaire. Quand les modules ne sont chargés que dynamiquement, en mémoire, depuis le serveur C2, les fichiers déposés sur le disque contiennent uniquement le client de base et le mécanisme de plugin. Ce client de base, écrit en Java légitime utilisant des bibliothèques légitimes, ressemble à n'importe quelle application Java. La détection basée sur le comportement, analysant les appels système et les connexions réseau en temps réel, est plus efficace que la détection statique contre cette architecture.

Défense Contre les RAT Java Multiplateformes

La stratégie de détection efficace contre QuimaRAT et les outils similaires repose sur le comportement plutôt que sur la signature. Les moteurs antivirus qui s'appuient sur des hachages ou des patterns de chaînes de caractères dans les binaires ont une efficacité limitée contre un outil dont l'architecture est conçue pour varier d'un déploiement à l'autre (le Builder génère un nouveau binaire configuré pour chaque campagne) et dont les modules malveillants sont chargés dynamiquement en mémoire depuis le C2.

La détection comportementale la plus efficace contre les RAT Java se concentre sur trois domaines. Premièrement, les processus Java (java.exe ou javaw.exe) qui établissent des connexions réseau sortantes non attribuables à des applications Java légitimes connues dans l'environnement : applications d'entreprise comme Jira, Jenkins, ou des outils de développement. Un processus Java sans nom d'application identifiable qui maintient une connexion persistante vers une IP externe mérite une investigation. Deuxièmement, les appels API système inhabituels depuis un processus Java : accès au registre Windows, création de tâches planifiées, accès aux répertoires de profil utilisateur des navigateurs. Ces opérations, légitimes pour certaines applications Java, sont anormales pour un processus Java qui ne s'identifie pas comme une application d'entreprise connue. Troisièmement, la présence de fichiers JAR dans des emplacements inhabituels : répertoire AppData, dossier temporaire, ou répertoires de démarrage automatique.

QuimaRAT dans le Paysage des MaaS Actuels

QuimaRAT s'inscrit dans une évolution du marché des outils d'accès distant malveillants vers une accessibilité croissante et une couverture multiplateforme étendue. Il y a cinq ans, un acteur malveillant souhaitant cibler simultanément des machines Windows et macOS devait maîtriser deux outils distincts avec des opérations C2 séparées. Les outils MaaS récents comme QuimaRAT, Quasar RAT ou d'autres suites Java ou .NET multiplatformes réduisent cette complexité à une interface de gestion unique.

La tarification à 150 dollars par mois place QuimaRAT dans la catégorie des outils accessibles aux acteurs de faible sophistication technique. Des groupes de cybercriminalité à budget limité, des acteurs étatiques de petits pays, ou des individus menant des campagnes ciblées ont accès à un outil dont les capacités auraient nécessité plusieurs mois de développement custom il y a dix ans. Cette démocratisation des capacités d'accès distant multiplateforme a des implications directes pour les équipes de sécurité qui doivent maintenant envisager des attaques multiplateforme sophistiquées comme scénario courant plutôt qu'exceptionnel.

La mesure défensive la plus directement applicable à la menace Quima Loader, le composant de distribution par faux CAPTCHA et fausses mises à jour, est la politique de contrôle des applications. Autoriser uniquement les applications signées par des éditeurs approuvés, et bloquer l'exécution de fichiers JAR ou de scripts VBS téléchargés depuis le navigateur vers des emplacements temporaires, est une mesure qui bloque le vecteur de distribution documenté sans impacter les applications légitimes déployées par le département IT.

Les 74 Modules Windows : Analyse des Capacités Clés

Le catalogue de 74 modules Windows de QuimaRAT représente un ensemble de capacités qui couvre tous les aspects d'un accès post-compromission complet. Certains modules méritent une attention particulière en raison de leur valeur tactique pour un attaquant et de leurs implications pour la détection.

Les modules d'extraction de navigateur sont parmi les plus immédiatement précieux. Les navigateurs modernes, Chrome, Firefox, Edge, et leurs dérivés, stockent les mots de passe, cookies de session, et tokens d'authentification dans des fichiers de profil accessibles par un processus ayant les droits de l'utilisateur. Un module d'extraction de navigateur copie et déchiffre ces fichiers pour récupérer les identifiants stockés. La richesse des données récupérables par cette technique dépasse souvent ce qu'un attaquant obtiendrait par d'autres moyens : non seulement les mots de passe des services web utilisés par la victime, mais aussi les tokens de session active qui permettent d'accéder à ces services sans connaître le mot de passe et sans déclencher une authentification multi-facteurs.

Les modules d'accès aux portefeuilles de cryptomonnaies ciblent les fichiers de portefeuille stockés localement par les applications comme MetaMask (extension de navigateur), Exodus, Electrum, ou d'autres clients de cryptomonnaies. Un portefeuille local non chiffré, ou chiffré avec un mot de passe faible récupéré par le module de force brute, peut être vidé immédiatement après l'infection, représentant un gain financier direct sans nécessiter d'étapes supplémentaires de monétisation.

Le gestionnaire de services Windows est un module dont la valeur est moins immédiate mais plus durable. Il permet de créer, modifier, et supprimer des services Windows, le mécanisme de persistence le plus robuste disponible sur Windows. Un RAT qui établit sa persistence via un service Windows avec un nom qui imite un service légitime est plus difficile à détecter et à supprimer qu'un RAT qui utilise les clés de registre Run ou les tâches planifiées, les vecteurs de persistence plus couramment surveillés.

Quima Loader et la Chaîne de Distribution

Le composant de distribution Quima Loader illustre l'attention portée par les développeurs de QuimaRAT à la chaîne d'infection complète, pas seulement aux capacités post-infection. Le mécanisme de livraison par cache de navigateur est particulièrement innovant : plutôt que de demander à la victime de télécharger explicitement un fichier, qui déclencherait des alertes de sécurité, le Loader incite le navigateur à stocker la charge utile malveillante dans son cache en se faisant passer pour un actif web légitime. La charge utile est ensuite extraite du cache et exécutée par un script PowerShell ou HTA invoqué par la page de faux CAPTCHA.

Cette technique de livraison par cache contourne plusieurs mécanismes de détection courants. Les solutions de filtrage web qui analysent les téléchargements explicites (fichiers EXE, JAR, MSI) ne voient pas de téléchargement direct. Les solutions qui analysent les scripts PowerShell ou HTA voient un script qui accède au cache du navigateur, une opération que de nombreux logiciels légitimes effectuent également. La détection nécessite une corrélation entre le comportement du navigateur (navigation vers une page de faux CAPTCHA), l'écriture dans le cache du navigateur, et l'exécution ultérieure d'un script qui accède à ce cache, une chaîne de comportements que peu de solutions de détection endpoint relient automatiquement.

Le bypass de Windows SmartScreen intégré dans Quima Loader exploite des lacunes dans la logique de SmartScreen concernant les fichiers récupérés via des mécanismes qui ne génèrent pas le flag "Zone Identifier" (NTFS Alternate Data Stream) que SmartScreen utilise pour identifier les fichiers téléchargés depuis Internet. Un fichier extrait du cache du navigateur par un script peut ne pas hériter de ce flag, rendant SmartScreen aveugle à son origine Internet.

Détection Avancée : Analyse Comportementale pour les RAT Java

La détection comportementale efficace contre QuimaRAT repose sur la compréhension de ce qui est normal et anormal pour les processus Java dans un environnement donné. Cette compréhension doit être construite par organisation, car les profils normaux varient considérablement : une organisation de développement logiciel aura des dizaines de processus Java légitimes avec des comportements très variés, tandis qu'un cabinet médical n'aura peut-être qu'une seule application Java de gestion des dossiers patients avec un comportement très prévisible.

Pour les environnements où Java est peu utilisé, les règles de détection peuvent être relativement agressives : tout processus Java (java.exe, javaw.exe, java) qui n'est pas un membre de la liste blanche des applications Java connues et qui établit des connexions réseau sortantes mérite une alerte. Pour les environnements Java-lourds, la détection doit se concentrer sur les comportements anormaux : accès aux répertoires de profil utilisateur des navigateurs, création de fichiers JAR en dehors des répertoires d'installation d'applications connues, chargement de classes depuis des URLs, ou exécution de commandes système depuis un processus Java qui n'est pas connu comme un serveur d'application.

La corrélation entre le chargement d'un plugin chiffré depuis un serveur externe et l'apparition d'un nouveau comportement dans le processus Java est un signal de détection avancé. Cette corrélation nécessite une visibilité au niveau réseau (quelle connexion a précédé le nouveau comportement ?) et au niveau processus (quels appels système ou chargements de classe ont suivi ?). Les outils EDR qui instrumentent les appels JVM peuvent, sur les plateformes qui les supportent, tracer les chargements de classes dynamiques et corréler ces chargements avec l'activité réseau précédente.

QuimaRAT et la Menace Pour les Postes MacOS d'Entreprise

La présence de 46 modules macOS et Linux dans QuimaRAT reflète l'évolution du marché des RAT commerciaux vers une couverture des environnements professionnels modernes, où macOS est de plus en plus présent dans les équipes techniques, commerciales, et de direction. Historiquement, les RAT ciblaient Windows de façon quasi-exclusive parce que Windows dominait le marché des postes de travail d'entreprise. La progression de macOS dans les entreprises, en particulier dans les secteurs technologiques, médias, et financiers, a créé un marché pour des outils d'accès distant capables de cibler les deux plateformes.

Sur macOS, la contrainte la plus importante sur les capacités de QuimaRAT est le système de permissions de confidentialité introduit par Apple depuis macOS Catalina. La capture d'écran et le contrôle des entrées (clavier, souris) nécessitent une autorisation explicite de l'utilisateur dans les Préférences Système, sous Confidentialité et sécurité. Un processus Java non reconnu qui demande ces permissions à l'utilisateur est un signal d'alerte que beaucoup d'utilisateurs identifieront comme suspect. QuimaRAT sur macOS est donc plus limité dans ses capacités de surveillance en temps réel que sur Windows, à moins que l'ingénierie sociale ne soit utilisée pour obtenir ces permissions, ou que l'accès root ne soit disponible pour contourner les contrôles.

Malgré ces limitations, les modules qui ne nécessitent pas ces permissions, accès au système de fichiers, extraction de navigateur, exécution de commandes, accès réseau restent pleinement fonctionnels sur macOS sans permission supplémentaire. Pour une cible macOS dont les données les plus sensibles sont dans le navigateur (tokens OAuth, mots de passe sauvegardés, cookies de session pour les applications SaaS), ces modules suffisent pour une exfiltration complète des identifiants les plus précieux.

Comment Defendis peut vous aider

Les acteurs étatiques, les outils d'accès distant distribués sur mesure et les techniques d'exfiltration physique représentent des menaces que les seuls outils de protection de poste ne suffisent pas à contenir. Defendis surveille en continu la surface d'attaque exposée de votre organisation : services accessibles sur Internet, identifiants compromis circulant dans les marchés clandestins, et indicateurs de compromission associés aux groupes documentés dans cet article. Quand un acteur hostile cible votre secteur ou que des données propres à votre organisation apparaissent dans un nouveau canal d'exfiltration, votre équipe reçoit le signal avant que l'attaquant ait pu agir. Découvrez comment la détection précoce change les résultats d'un incident, ou demandez un briefing personnalisé pour votre organisation.

About the author
Sara is a marketing student and tech writing enthusiast with an interest in digital culture, startups, and emerging technologies.

Related Articles

Discover simplified
Cyber Risk Management
Learn how to prevent cyberattacks proactively with a free trial of Defendis.