{"id":1543852,"date":"2025-02-17T20:31:14","date_gmt":"2025-02-17T22:31:14","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-nouvelle-porte-derobee-basee-a-golang-utilise-une-api-de-bot-telegramme-pour-les-operations-c2-evasives\/"},"modified":"2025-02-17T20:31:18","modified_gmt":"2025-02-17T22:31:18","slug":"la-nouvelle-porte-derobee-basee-a-golang-utilise-une-api-de-bot-telegramme-pour-les-operations-c2-evasives","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-nouvelle-porte-derobee-basee-a-golang-utilise-une-api-de-bot-telegramme-pour-les-operations-c2-evasives\/","title":{"rendered":"La nouvelle porte d\u00e9rob\u00e9e bas\u00e9e \u00e0 Golang utilise une API de bot t\u00e9l\u00e9gramme pour les op\u00e9rations C2 \u00e9vasives"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Intelligence de menace \/ cyberattaque<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/La-nouvelle-porte-derobee-basee-a-Golang-utilise-une-API.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont mis en lumi\u00e8re une nouvelle porte d\u00e9rob\u00e9e \u00e0 base de Golang qui utilise le t\u00e9l\u00e9gramme comme m\u00e9canisme de communication de commandement et de contr\u00f4le (C2).<\/p>\n<p>Netskope Threat Labs, qui a d\u00e9taill\u00e9 les fonctions du malware, l&#8217;a d\u00e9crit comme peut-\u00eatre d&#8217;origine russe.<\/p>\n<p>&#8220;Le malware est compil\u00e9 \u00e0 Golang et, une fois ex\u00e9cut\u00e9, il agit comme une porte d\u00e9rob\u00e9e&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Leandro Fr\u00f3es <a rel=\"noopener nofollow\" href=\"https:\/\/www.netskope.com\/blog\/telegram-abused-as-c2-channel-for-new-golang-backdoor\" target=\"_blank\">dit<\/a> Dans une analyse publi\u00e9e la semaine derni\u00e8re. &#8220;Bien que les logiciels malveillants semblent toujours en cours de d\u00e9veloppement, il est compl\u00e8tement fonctionnel.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Une fois lanc\u00e9, la porte d\u00e9rob\u00e9e est con\u00e7ue pour v\u00e9rifier si elle s&#8217;ex\u00e9cute sous un emplacement sp\u00e9cifique et en utilisant un nom sp\u00e9cifique &#8211; &#8220;C:  Windows  temp  svchost.exe&#8221; &#8211; et sinon, il lit son propre contenu, les \u00e9crit \u00e0 cet endroit , et cr\u00e9e un nouveau processus pour lancer la version copi\u00e9e et se terminer.<\/p>\n<p>Un aspect notable du malware est qu&#8217;il utilise un <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/go-telegram-bot-api\/telegram-bot-api\" target=\"_blank\">biblioth\u00e8que open source<\/a> Cela offre des liaisons Golang pour l&#8217;API Bot Telegram \u00e0 des fins C2.<\/p>\n<p>Cela implique d&#8217;interagir avec l&#8217;API T\u00e9l\u00e9gramme Bot pour recevoir de nouvelles commandes provenant d&#8217;un chat contr\u00f4l\u00e9 par l&#8217;acteur. Il prend en charge quatre commandes diff\u00e9rentes, bien que seulement trois d&#8217;entre elles soient actuellement impl\u00e9ment\u00e9es &#8211;<\/p>\n<ul>\n<li>\/ cmd &#8211; ex\u00e9cuter les commandes via PowerShell<\/li>\n<li>\/ persiste &#8211; se relancer sous &#8220;C:  Windows  temp  svchost.exe&#8221;<\/li>\n<li>\/ capture d&#8217;\u00e9cran &#8211; non impl\u00e9ment\u00e9e<\/li>\n<li>\/ authentification &#8211; supprimer le fichier &#8220;C:  Windows  temp  svchost.exe&#8221; et se terminer<\/li>\n<\/ul>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738603713_19_PYPI-introduit-le-statut-darchives-pour-alerter-les-utilisateurs-sur.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La sortie de ces commandes est renvoy\u00e9e au canal t\u00e9l\u00e9gramme. Netskope a d\u00e9clar\u00e9 que la commande &#8220;\/ capture d&#8217;\u00e9cran&#8221; envoie le message &#8220;capture d&#8217;\u00e9cran captur\u00e9e&#8221; bien qu&#8217;elle ne soit pas compl\u00e8tement \u00e9toff\u00e9e.<\/p>\n<p>Les racines russes des logiciels malveillants s&#8217;expliquent par le fait que l&#8217;instruction &#8220;\/ cmd&#8221; envoie le message &#8220;Entrez la commande:&#8221; En russe au chat.<\/p>\n<p>&#8220;L&#8217;utilisation d&#8217;applications cloud pr\u00e9sente un d\u00e9fi complexe pour les d\u00e9fenseurs et les attaquants en est conscient&#8221;, a d\u00e9clar\u00e9 Fr\u00f3es. &#8220;D&#8217;autres aspects tels que la facilit\u00e9 de d\u00e9finir et de d\u00e9marrer l&#8217;utilisation de l&#8217;application sont des exemples de pourquoi les attaquants utilisent des applications comme celle-ci dans diff\u00e9rentes phases d&#8217;une attaque.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/new-golang-based-backdoor-uses-telegram.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 f\u00e9vrier 2025\ue804Ravie LakshmananIntelligence de menace \/ cyberattaque Les chercheurs en cybers\u00e9curit\u00e9 ont mis en lumi\u00e8re une nouvelle porte d\u00e9rob\u00e9e \u00e0 base de Golang qui utilise le t\u00e9l\u00e9gramme comme m\u00e9canisme de communication de commandement et de contr\u00f4le (C2). Netskope Threat Labs, qui a d\u00e9taill\u00e9 les fonctions du malware, l&#8217;a d\u00e9crit comme peut-\u00eatre d&#8217;origine russe. &#8220;Le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1543853,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,43650,23311,62886,4168,79002,274264,4161,274263,6124,7084,281100,78641,65,274267,4160,197,4587,2742,185,238617,246491,4172,23,79016,196,1282,4166,4164],"class_list":["post-1543852","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-api","tag-basee","tag-bot","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-derobee","tag-evasives","tag-golang","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-operations","tag-porte","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-telegramme","tag-the-hacker-news","tag-une","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1543852","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1543852"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1543852\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1543853"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1543852"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1543852"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1543852"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}