RedCurl vient de signer une attaque qui détonne. Longtemps associé au cyberespionnage, le groupe bascule dans le chiffrement ciblé avec une opération qui vise directement les hyperviseurs. Pas de chaos, pas de revendication publique, mais un ransomware qui laisse planer le doute sur ses véritables intentions.
Depuis 2018, le groupe RedCurl agit dans l’ombre, sans bruit ni campagnes spectaculaires. Discret, méthodique, on le décrit comme spécialisé dans l’espionnage économique et industriel : intrusions ciblées, accès soignés, et exfiltration de documents sensibles, sans demande de rançon ni fuites publiques. Un profil assez éloigné de ceux des groupes de ransomware traditionnels, plus proche d’une cellule de renseignement que d’un gang mafieux. Jusqu’à aujourd’hui. Selon Bitdefender, RedCurl vient de franchir un cap en déployant un rançongiciel pour la première fois. Et comme souvent avec ce groupe, l’opération ne ressemble à aucune autre.
Une attaque ciblée et chirurgicale
Contrairement aux campagnes bruyantes menées par des groupes comme LockBit, RedCurl ne chiffre pas les postes utilisateur et ne cherche pas à paralyser toute l’infrastructure d’un coup. Il cible les hyperviseurs, cette couche logicielle qui permet de faire tourner les machines virtuelles de toute une organisation sur un même serveur physique. En les rendant inaccessibles, le groupe coupe net les services sans provoquer de chaos immédiat. Certains équipements critiques, y compris les passerelles réseau, sont volontairement laissés intacts, probablement pour éviter d’attirer trop vite l’attention des équipes de cybersécurité.
Sans entrer dans des détails trop techniques, l’attaque débute par une campagne de phishing (envoi de faux CV) et repose sur un binaire Go (langage souvent utilisé pour sa portabilité et sa vitesse d’exécution) baptisé QWCrypt, inconnu jusqu’alors. Son nom fait référence à une chaîne de caractères repérée dans l’exécutable. Le ransomware est compressé dans une archive protégée 7z, extraite sur la machine victime à l’aide de scripts adaptés à l’environnement ciblé.
Avant toute chose, les outils de sécurité sont neutralisés. Dans certains cas, RedCurl utilise même une technique dite BYOVD (Bring Your Own Vulnerable Driver), en s’appuyant sur un pilote vulnérable pour élever ses privilèges et désactiver les défenses locales. L’attaque est lancée à partir de commandes Windows légitimes, dans une logique typique des attaques dites Living-off-the-Land (LotL, détournement des outils système déjà présents pour passer inaperçu).
25 mars 2025 à 15h12
À l’issue de l’attaque, une note de rançon est déposée sur les VM verrouillées et menace de publier les données volées sur le darkweb si la victime ne paie pas. On y trouve bien une adresse mail à contacter, mais aucune mention de montant, ni même de lien vers un site de leak. Plus étonnant encore, son contenu, très bavard, reprend mot pour mot des passages déjà utilisés par d’autres groupes comme LockBit, HardBit ou Mimic, y compris sur les questions d’assurance.
Une espèce de recyclage protéiforme qui, combiné à la forte personnalisation des scripts utilisés - avec des références explicites à des noms de machines internes au réseau visé - donne à l’ensemble un caractère hybride, entre intimidation ciblée et tentative d’extorsion mal assumée.
Or, on le sait, depuis ses débuts, RedCurl a toujours cultivé le flou et l’ambiguïté, et ce dernier incident ne fait que renforcer le trouble. Classé comme groupe d’espionnage, parfois désigné comme APT, il cible à la fois des entreprises occidentales et russes. Une répartition peu compatible avec une logique strictement étatique.
Difficile, aussi, de parler de ransomware classique. Le mode opératoire évoque plutôt celui d’un groupe mercenaire cyber : une mission d’exfiltration, un client qui ne paie pas, une réaction ciblée pour faire pression. Il pourrait aussi s’agir d’une volonté de masquer une intrusion autrement critique derrière un simulacre de demande de rançon. À moins, tout simplement, que l’on ait affaire à un groupe qui privilégie la discrétion à la démonstration de force.
Anticiper, détecter, réagir
L’attaque observée par Bitdefender rappelle une chose : même bien équipé, on peut être pris de court. Quand les scripts sont taillés sur mesure, que les droits sont déjà accordés et que tout passe par des outils Windows parfaitement légitimes, il ne reste plus grand-chose à détecter.
Face à ce type d’opération, la surveillance doit s’exercer en amont, à bas bruit elle aussi. Ligne de commande inhabituelle, appel détourné à un binaire système, activité anormale sur un hyperviseur… Autant de signaux faibles qu’il faut apprendre à détecter, même lorsqu’ils passent par des canaux autorisés.
Il est tout aussi essentiel de restreindre les privilèges d’administration, de cloisonner les environnements critiques comme les hyperviseurs, et de revoir les droits accordés aux services automatisés. Les sauvegardes doivent être sécurisées, isolées, chiffrées, et régulièrement testées.
Une fois l’attaque déclenchée, l’enjeu n’est plus d’empêcher l’intrusion, mais de contenir sa progression. Isolez les hyperviseurs touchés pour stopper l’exécution des scripts et préserver ce qui peut encore l’être.
À ce stade, il faut aussi considérer que les défenses locales ne sont plus fiables. Un système de surveillance externe ou une équipe de réponse à incident peut faire la différence, à condition d’être déjà en place.
Pour terminer, il reste à évaluer l’étendue réelle de l’attaque. Pas seulement ce qui a été chiffré, mais aussi ce qui a été copié, modifié, voire effacé. Et si RedCurl reste fidèle à ses méthodes, il ne faudra pas forcément s’attendre à des revendications publiques. Ce qui oblige à gérer la situation dans un flou stratégique parfois plus compliqué que la crise elle-même.
Source : Bitdefender
