Close-up of a hand holding a smartphone displaying email app against a green background.
News

Umbrij : le malware de ToddyCat qui détourne OAuth pour espionner les emails Gmail d'entreprises

Umbrij, attribué à ToddyCat, abuse l'API Google via OAuth pour accéder aux emails Gmail d'entreprises. Technique, détection et recommandations.
Sara Amin
Marketing Student • Content & Writing Enthusiast

L'accès aux communications email d'une organisation est l'un des objectifs les plus persistants des acteurs de menace avancés. Les emails d'entreprise contiennent des informations sur les projets en cours, les négociations commerciales, les relations avec les clients et les partenaires, les décisions stratégiques, et parfois des identifiants ou des données sensibles partagés sans les précautions qui s'imposeraient dans d'autres canaux. Pour un acteur d'espionnage cherchant à suivre les activités d'une organisation cible sur la durée, un accès discret et persistant à sa messagerie est une ressource de renseignement de premier ordre.

Kaspersky a publié cette semaine une analyse détaillée d'Umbrij, un nouveau malware attribué au groupe de menace persistante avancée ToddyCat, conçu spécifiquement pour obtenir et maintenir un accès furtif aux communications email d'entreprises hébergées sur Gmail, via un abus de l'API Google et du mécanisme OAuth. La campagne cible les communications email d'entreprise hébergées sur Gmail, exploitant la confiance que les systèmes de sécurité accordent aux autorisations OAuth légitimes pour maintenir un accès persistant indétectable par les contrôles d'authentification traditionnels.

Qui est ToddyCat

ToddyCat est un acteur de menace persistante avancée dont les activités ont été documentées par Kaspersky depuis au moins 2020. Le groupe est associé à des opérations de cyberespionnage ciblant principalement des organisations gouvernementales, militaires, et diplomatiques en Asie du Sud-Est et en Europe de l'Est. Les cibles historiques de ToddyCat comprennent des ministères, des agences de défense, des opérateurs de télécommunications, et des entités gouvernementales dans des pays qui présentent un intérêt stratégique pour les objectifs de renseignement présumés du groupe.

Le profil opérationnel de ToddyCat est caractérisé par un intérêt pour la collecte de renseignements à long terme plutôt que par la perturbation immédiate ou la monétisation. Le groupe déploie des outils qui favorisent la persistance et la discrétion, restant dans les environnements compromis pendant des mois ou des années, collectant des données de manière continue sans déclencher d'alertes visibles. Cette approche contraste avec les opérations ransomware ou les campagnes de vol de données à impact immédiat, et nécessite des outils conçus spécifiquement pour éviter la détection sur le long terme.

Les campagnes précédemment attribuées à ToddyCat ont utilisé des chargeurs personnalisés, des backdoors modulaires, et des outils de collecte de données spécifiques aux environnements Windows gouvernementaux. En novembre 2025, Kaspersky avait déjà documenté l'utilisation par ToddyCat d'un outil personnalisé baptisé TCSectorCopy pour exfiltrer des données de messagerie Microsoft Outlook appartenant à des organisations ciblées. Umbrij représente l'extension de cette même logique de collecte de communications aux environnements Gmail hébergés dans le cloud. Umbrij représente une évolution dans le ciblage du groupe, se concentrant sur les communications email hébergées dans le cloud plutôt que sur les systèmes d'exploitation locaux des organisations cibles. Cette évolution reflète la migration des communications d'entreprise vers des plateformes cloud comme Gmail Workspace, qui stockent les données sur l'infrastructure de Google plutôt que sur des serveurs email gérés par l'organisation elle-même.

Umbrij et la Technique STRD : Shadow Token via Remote Debug

Umbrij est conçu pour accéder aux emails d'une organisation via l'API Google en exploitant une technique que Kaspersky a baptisée STRD, pour Shadow Token via Remote Debug. Le nom décrit précisément le mécanisme : Umbrij lance un navigateur Chromium en mode headless (sans interface visible), puis se connecte à ce navigateur via son port de débogage distant, une fonctionnalité destinée aux développeurs pour inspecter et contrôler le navigateur de l'extérieur.

Une fois connecté via ce port de débogage, Umbrij exploite une session Gmail active déjà authentifiée dans ce navigateur. L'objectif est d'émettre une série de requêtes pour obtenir un code d'autorisation OAuth, qu'il échange ensuite contre un token d'accès à l'API Google. Ce token permet alors d'accéder aux ressources Gmail de l'utilisateur via l'API Google directement, sans que l'utilisateur ait connaissance de l'opération. Trois versions distinctes d'Umbrij ont été identifiées dans l'analyse de Kaspersky, incluant des variantes avec des fonctions d'aide au débogage et de sélection de comptes utilisateurs dans le navigateur.

L'initialisation d'Umbrij sur les systèmes cibles passe par une tâche planifiée qui usurpe le nom d'un logiciel de sécurité légitime, imitant une entrée de planificateur de Kaspersky Endpoint Security. Ce mécanisme de persistance assure qu'Umbrij est lancé à chaque démarrage du système sans éveiller la suspicion d'un utilisateur qui verrait une tâche planifiée avec un nom d'apparence légitime. La technique STRD est viable sur tous les navigateurs basés sur Chromium, ce qui inclut Chrome, Edge, Brave, et leurs dérivés, à condition qu'une session Gmail authentifiée soit active dans ce navigateur.

Une fois un token OAuth valide obtenu, les accès à la boîte Gmail de la cible transitent par l'API Google et apparaissent dans les journaux Google Workspace comme des accès d'une application autorisée plutôt que comme une connexion externe non autorisée. Les lectures de messages, les recherches dans l'historique email, et les téléchargements de pièces jointes sont effectués via des appels API qui n'activent pas les mêmes alertes qu'une connexion directe depuis une adresse IP inconnue.

Pourquoi l'API Google et OAuth Sont des Vecteurs d'Attaque Privilegiés

L'attrait de l'abus OAuth pour les acteurs d'espionnage comme ToddyCat tient à plusieurs propriétés de ce mécanisme d'autorisation qui le rendent particulièrement favorable à des opérations furtives à long terme. Premièrement, les tokens OAuth sont conçus pour fonctionner sans interaction de l'utilisateur une fois accordés. Un refresh token valide, stocké par une application autorisée, permet de renouveler automatiquement l'accès indéfiniment tant que l'utilisateur ne révoque pas explicitement l'autorisation de l'application. Un acteur malveillant qui a obtenu un refresh token valide peut maintenir un accès continu à la boîte Gmail d'une cible pendant des mois sans aucune réauthentification visible.

Deuxièmement, les accès via l'API Google apparaissent dans les journaux de sécurité Google Workspace sous le nom de l'application autorisée, pas sous celui d'un utilisateur ou d'une adresse IP externe. Un accès illégitime qui transite par une application OAuth légitime compromise, ou via un token obtenu par des moyens non autorisés, peut être difficile à distinguer des accès légitimes de cette même application dans les journaux d'audit, particulièrement si l'organisation n'a pas configuré des alertes sur des patterns d'accès inhabituels via l'API.

Troisièmement, les contrôles d'accès conditionnel et les politiques de sécurité que les organisations configurent dans Google Workspace s'appliquent principalement aux connexions directes via les interfaces web et les clients email. Les accès via des applications OAuth autorisées peuvent bénéficier d'exceptions ou de niveaux de confiance différents dans ces politiques, créant un angle mort dans la couverture des contrôles de sécurité.

La compromission via des méthodes d'ingénierie sociale reste souvent le mécanisme initial permettant à un acteur comme ToddyCat d'obtenir les accès nécessaires pour déployer Umbrij ou obtenir les premiers tokens OAuth. Une compromission d'appareil initial, un phishing ciblé qui conduit à l'installation d'un composant de collecte de tokens, ou un accès à un appareil mobile synchronisé avec le compte Gmail cible, peuvent tous constituer le vecteur initial d'acquisition de token qu'Umbrij exploite ensuite pour l'accès persistant.

Ce que ToddyCat Cherche dans les Emails d'Entreprise

Comprendre ce que ToddyCat collecte via Umbrij aide à évaluer le risque que représente cette campagne pour différentes catégories d'organisations. Le groupe a historiquement ciblé des entités liées aux gouvernements et aux structures diplomatiques en Asie, ce qui suggère un intérêt pour les communications ayant une dimension géopolitique ou stratégique. Les échanges avec des agences gouvernementales, des contrats de défense, des négociations commerciales à enjeux politiques, et les communications des équipes dirigeantes sur des sujets sensibles constituent des cibles de valeur élevée pour ce type d'opération.

Les pièces jointes email sont une cible aussi importante que le contenu des messages eux-mêmes. Les organisations partagent régulièrement des documents confidentiels par email : rapports financiers, projets de contrats, documents techniques, analyses stratégiques. Un accès persistant à la boîte Gmail d'un directeur financier, d'un responsable commercial, ou d'un ingénieur senior permet à l'acteur de collecter un flux continu de documents sensibles sans avoir à pénétrer les systèmes de stockage interne de l'organisation.

Les métadonnées email, c'est-à-dire les informations sur qui communique avec qui, à quelle fréquence et sur quels sujets (visibles dans les lignes d'objet et les structures de conversation), ont une valeur indépendante du contenu des messages. Ces métadonnées permettent de cartographier les réseaux de relations d'une organisation, d'identifier les projets en cours par les patterns de communication qu'ils génèrent, et de repérer les moments de vulnérabilité organisationnelle comme les périodes de restructuration, les négociations commerciales, ou les situations de crise interne.

Détection et Recommandations pour les Environnements Google Workspace

La détection de l'abus OAuth dans un environnement Google Workspace nécessite une surveillance active des autorisations d'applications tierces et des patterns d'accès via l'API. Google Workspace fournit des journaux d'audit qui enregistrent les accès aux données via des applications OAuth autorisées, y compris les volumes de données consultées, les types d'opérations effectuées, et les métadonnées d'accès. Une organisation qui ne consulte pas ces journaux activement ne peut pas détecter un abus OAuth en cours.

L'audit régulier des applications tierces autorisées dans l'environnement Google Workspace est une pratique de sécurité fondamentale. Les administrateurs Google Workspace disposent d'une console qui liste toutes les applications qui ont des autorisations OAuth actives dans le domaine, les scopes de permission accordés à chaque application, et le nombre d'utilisateurs qui ont autorisé chaque application. Une revue périodique de cette liste, avec révocation des autorisations pour les applications non reconnues, non utilisées, ou dont les scopes de permission semblent excessifs, réduit la surface d'abus OAuth.

La politique d'accès des applications tierces peut être restreinte au niveau administrateur dans Google Workspace. Les organisations peuvent limiter les applications OAuth autorisées à une liste approuvée, empêchant les utilisateurs d'autoriser individuellement des applications qui n'ont pas été vérifiées et approuvées par les administrateurs IT. Cette politique, activée via les paramètres de sécurité de Google Workspace, bloque la majorité des vecteurs d'abus OAuth qui dépendent d'une autorisation induite de l'utilisateur.

La veille en renseignement sur les menaces fournissant les indicateurs de compromission associés à Umbrij et aux infrastructures de ToddyCat permet aux équipes de sécurité de configurer des alertes sur les communications réseau avec ces infrastructures depuis leurs environnements Google Workspace. Les requêtes API Google initiées par Umbrij transitent par des adresses IP d'infrastructure qui, une fois publiées dans les rapports de Kaspersky, constituent des indicateurs de détection activables dans les solutions de surveillance réseau et les SIEM.

Pour les organisations opérant dans des secteurs sensibles, gouvernement, défense, télécommunications, ou ayant des activités dans des régions géographiques d'intérêt pour ToddyCat, la campagne Umbrij justifie une revue spécifique des accès Gmail des comptes à fort enjeu : direction générale, équipes juridiques et financières, responsables de contrats stratégiques. Cette revue devrait inclure l'audit des appareils mobiles synchronisés avec ces comptes, qui représentent souvent le maillon le plus vulnérable dans la chaîne d'acquisition de tokens OAuth par un acteur suffisamment sophistiqué pour conduire des opérations de ce type.

ToddyCat et l'Évolution des APT vers les Cibles Cloud

La campagne Umbrij représente une évolution significative dans les tactiques de ToddyCat, qui avait jusqu'ici concentré ses opérations sur la compromission de systèmes Windows dans des environnements gouvernementaux. Le passage à l'exploitation des API cloud, et spécifiquement de l'API Google pour l'accès aux emails, reflète une adaptation aux changements dans l'architecture des organisations cibles : à mesure que les communications et les données migrent vers des plateformes cloud, les acteurs APT adaptent leurs outils pour cibler ces plateformes directement plutôt que les serveurs on-premises qui hébergeaient autrefois ces données.

Cette migration de cible est cohérente avec une tendance observée à travers plusieurs groupes APT dans les deux dernières années. Les attaques ciblant Microsoft 365, Google Workspace, et d'autres plateformes SaaS d'entreprise ont augmenté en volume et en sophistication, précisément parce que ces plateformes hébergent désormais des données qui étaient auparavant sur des serveurs internes mieux protégés par les contrôles de sécurité périmétrique traditionnels. Un acteur qui peut accéder à Google Workspace accède aux emails, aux documents, aux calendriers, et aux données de collaboration d'une organisation sans jamais avoir besoin de pénétrer son réseau interne.

L'intérêt de ToddyCat pour les communications email d'entreprise hébergées sur Gmail Workspace est cohérent avec le profil de renseignement que le groupe cherche à collecter. Les organisations gouvernementales et diplomatiques qui utilisent Google Workspace pour leurs communications internes et externes exposent dans leurs boîtes mail des informations qui auraient autrefois nécessité une compromission physique ou une implantation de malware complexe sur des systèmes protégés. L'API Google, accessible depuis n'importe quel point d'Internet une fois qu'un token OAuth valide est obtenu, rend cet accès possible avec une infrastructure d'attaque beaucoup plus légère.

La Persistance comme Priorité Opérationnelle d'Umbrij

La conception d'Umbrij révèle une priorité opérationnelle claire : la persistance discrète à long terme sur les accès email, plutôt que l'exfiltration massive immédiate qui risquerait de déclencher des alertes. Cette priorité est caractéristique des opérations d'espionnage qui cherchent à collecter un flux continu de renseignements plutôt qu'à réaliser un vol unique.

Le mécanisme OAuth que ToddyCat a choisi pour Umbrij est particulièrement bien adapté à cet objectif de persistance. Un token OAuth avec un refresh token valide ne nécessite pas de réauthentification périodique. Tant que l'utilisateur ne révoque pas explicitement l'accès de l'application autorisée, le refresh token peut être utilisé pour obtenir de nouveaux tokens d'accès indéfiniment. Un acteur qui a obtenu un refresh token valide dispose d'un accès potentiellement permanent à la boîte Gmail de la cible, limité uniquement par les changements de politique de Google sur la durée de vie des refresh tokens ou par une action délibérée de l'utilisateur ou de l'administrateur.

La discrétion des accès via l'API Google dans les journaux de sécurité renforce la persistance en réduisant le risque de détection. Google Workspace enregistre les accès API dans ses journaux d'audit, mais le volume de ces accès dans une organisation qui utilise de nombreuses applications tierces autorisées peut rendre difficile l'identification d'un accès malveillant spécifique parmi les accès légitimes. Un acteur qui espace ses requêtes API pour éviter des pics de volume inhabituels peut maintenir un accès à la boîte Gmail d'une cible pendant des mois sans générer d'alerte dans un environnement qui ne surveille pas activement les patterns d'accès API.

Cas Pratiques : Comment un Accès Gmail APT Se Concrétise

Pour comprendre l'impact réel d'une compromission Gmail par Umbrij, il est utile de considérer des scénarios concrets qui illustrent ce qu'un acteur comme ToddyCat peut accomplir avec un accès persistant à la boîte mail d'un cadre ou d'un fonctionnaire d'une organisation cible.

Scénario de cartographie relationnelle : en analysant les métadonnées des emails d'un directeur régional sur six mois, l'acteur cartographie les partenaires commerciaux, les fournisseurs, les contacts gouvernementaux, et les consultants avec lesquels cette personne communique régulièrement. Cette cartographie, construite à partir des seules métadonnées sans lecture du contenu des emails, révèle les relations opérationnelles de l'organisation et identifie des cibles secondaires potentiellement plus vulnérables dans l'écosystème de la cible principale.

Scénario de surveillance de négociation : dans le cadre d'une opération d'acquisition ou d'un contrat public à enjeux élevés, un accès aux emails des membres de l'équipe de négociation permet à un acteur concurrent ou étatique d'observer en temps réel les positions de négociation, les lignes rouges, et les stratégies internes de la cible. Les informations obtenues peuvent être transmises à la partie adverse dans la négociation, donnant à celle-ci un avantage décisif sans que la cible ne comprenne comment ses positions confidentielles ont été exposées.

Scénario d'extraction de documents sensibles : les pièces jointes emails incluent régulièrement des documents qui ne seraient jamais partagés via des canaux moins sécurisés mais qui circulent librement par email par habitude ou par commodité : rapports d'audit internes, projections financières, analyses de risque, ou documents techniques sensibles. Un acteur avec un accès persistant peut automatiser la récupération des pièces jointes répondant à certains critères, construisant progressivement une bibliothèque de documents internes sans jamais avoir à accéder aux systèmes de stockage documentaire de l'organisation.

Révision des Autorisations OAuth : Un Audit Que Toute Organisation Devrait Faire Maintenant

La publication du rapport Kaspersky sur Umbrij est l'occasion pour toutes les organisations utilisant Google Workspace d'effectuer un audit de leurs autorisations OAuth actives. Cet audit est simple à réaliser pour un administrateur Google Workspace et peut révéler des autorisations accordées à des applications qui ne sont plus utilisées, à des applications dont les scopes de permission sont excessifs par rapport à leur usage déclaré, ou à des applications que les administrateurs ne reconnaissent pas.

La console d'administration Google Workspace propose, dans la section Sécurité puis Contrôle des accès et données, une vue des applications tierces qui ont des autorisations OAuth dans le domaine. Pour chaque application, les administrateurs peuvent voir le nombre d'utilisateurs qui ont accordé l'autorisation, les scopes de permission accordés, et la date de la dernière utilisation. Une application qui a accès aux emails (scope gmail.readonly ou gmail.modify) et dont la dernière utilisation remonte à plusieurs mois mérite une vérification de sa légitimité et, si elle n'est pas reconnue, une révocation immédiate.

Au-delà de l'audit ponctuel, la configuration d'une politique de restriction des applications tierces dans Google Workspace, imposant que seules les applications approuvées par les administrateurs puissent obtenir des autorisations OAuth, est la mesure structurelle qui prévient les futures compromissions du type Umbrij. Cette politique peut sembler contraignante pour les utilisateurs habitués à autoriser librement des applications, mais elle est alignée avec le principe de moindre privilège appliqué aux autorisations d'accès aux données d'entreprise.

qui inclut le suivi des publications des chercheurs de Kaspersky et d'autres équipes qui documentent les opérations de groupes comme ToddyCat permet aux équipes de sécurité d'anticiper et de détecter des campagnes comme Umbrij plutôt que de les découvrir après plusieurs mois d'accès non détecté. Les indicateurs publiés dans ces rapports, adresses d'infrastructure, patterns de requêtes API, et signatures de tokens OAuth, sont directement activables dans les outils de surveillance Google Workspace et les SIEM pour détecter des compromissions en cours.

Comment Defendis peut vous aider

Defendis surveille en continu le dark web et les forums criminels pour détecter les signaux d'alerte spécifiques à votre organisation : exposition d'identifiants, campagnes actives ciblant votre secteur, et indicateurs de compromission liés à votre infrastructure. Demandez une démonstration pour voir ce que nous voyons avant que cela ne vous atteigne.

About the author
Sara is a marketing student and tech writing enthusiast with an interest in digital culture, startups, and emerging technologies.

Related Articles

Discover simplified
Cyber Risk Management
Request access and learn how we can help you prevent cyberattacks proactively.