Les chercheurs de **Rapid7** ont analysé deux variantes distinctes de **Kyber** en mars 2026 lors d'une intervention d'urgence. Les deux variantes ont été déployées sur le même réseau, l'une ciblant spécifiquement les environnements VMware ESXi et l'autre se concentrant sur les serveurs de fichiers Windows. ### Variante ESXi : Chiffrement axé sur VMware « La variante ESXi est spécifiquement conçue pour les environnements VMware, avec des capacités de chiffrement de datastore, de terminaison optionnelle de machines virtuelles et de défiguration des interfaces de gestion », explique **Rapid7**. La variante ESXi énumère toutes les machines virtuelles (VM), chiffre les fichiers du datastore et défigure les interfaces ESXi avec des notes de rançon pour guider les victimes dans le processus de paiement de la rançon et de récupération.  _**Portail d'extorsion des victimes du ransomware Kyber** Source : BleepingComputer.com_ ### Affirmations post-quantiques et réalité Alors que le ransomware annonce un chiffrement « post-quantique » basé sur l'encapsulation de clé **Kyber1024**, **Rapid7** a découvert que ces affirmations sont trompeuses pour l'encryptor Linux ESXi. La version Linux utilise ChaCha8 pour le chiffrement des fichiers et RSA-4096 pour l'enveloppement des clés. Les petits fichiers (< 1 Mo) sont entièrement chiffrés avec l'extension '.xhsyw', tandis que les fichiers plus volumineux subissent un chiffrement partiel ou intermittent basé sur la taille et la configuration de l'opérateur.  _**Note de rançon intégrée dans le binaire ELF** Source : Rapid7_ ### Variante Windows : Basée sur Rust et potentiellement plus sophistiquée La variante Windows, écrite en Rust, implémente **Kyber1024** et X25519 pour la protection des clés, ce qui correspond aux affirmations de la note de rançon. « Cela confirme que **Kyber** n'est pas utilisé pour le chiffrement direct des fichiers. Au lieu de cela, **Kyber1024** protège le matériel de clé symétrique, tandis qu'AES-CTR gère le chiffrement de données en masse », explique **Rapid7**. Indépendamment de l'utilisation de RSA ou de **Kyber1024**, les fichiers restent irrécupérables sans la clé privée de l'attaquant. La variante Windows ajoute l'extension '.#~~~' aux fichiers chiffrés, termine les services, supprime les sauvegardes et inclut une fonctionnalité expérimentale pour arrêter les machines virtuelles Hyper-V. Elle est conçue pour éliminer les chemins de récupération de données en supprimant les copies fantômes, en désactivant la réparation du démarrage, en arrêtant les services SQL, Exchange et de sauvegarde, en effaçant les journaux d'événements et en vidant la corbeille Windows.  _**Kyber pour Windows CLI** Source : Rapid7_ La variante Windows de **Kyber** utilise également un mutex inhabituel, faisant référence à une chanson sur la plateforme musicale Boomplay, selon **Rapid7**. Dans l'ensemble, la variante Windows semble plus mature techniquement que la variante ESXi. Actuellement, une seule victime est répertoriée sur le portail d'extorsion de données de **Kyber** : un entrepreneur américain de la défense et fournisseur de services informatiques, valorisé à plusieurs milliards de dollars.