Les chercheurs en cybersécurité de **Palo Alto Networks Unit 42** ont mis au jour une campagne de malvertising sophistiquée, nommée **Operation FlutterBridge**, qui propage activement un nouveau backdoor pour macOS connu sous le nom de **FlutterShell**. Cette campagne marque une escalade significative par rapport aux activités précédentes attribuées au groupe de menaces **CL-CRI-1089**, actif depuis au moins 2023. ## Évolution de la campagne et attribution **Operation FlutterBridge** est identifiée comme la dernière phase d'un cluster d'activité précédemment documenté, **JSCoreRunner** (également connu sous le nom de **FileRipple**), signalé pour la première fois fin août 2025. Les opérations attribuées à **CL-CRI-1089** englobent également des campagnes telles que **Recipe Lister** et **Calendaromatic**. Celles-ci entrent dans la désignation plus large de **TamperedChef** (ou **EvilAI**), une série continue de campagnes qui utilisent des logiciels de productivité trojanisés pour distribuer des programmes potentiellement indésirables (PUP) et des adware. ## Malvertising et tactiques trompeuses Les attaquants exploitent des publicités malveillantes sur **Google** et **YouTube**, distribuées via un réseau de sociétés écrans **Google**-vérifiées. Ces publicités servent d'appâts, incitant les utilisateurs à télécharger des malwares déguisés en applications de bureau légitimes. Parmi les sociétés écrans identifiées dans ce schéma figurent **AdsParkPro LTD**, **Advantage Web Marketing LLC** et **SOFT WE ART LIMITED** (maintenant **PACIFIC TRADE SOLUTIONS LTD**). Les registres de YouControl et du Companies House du gouvernement britannique suggèrent que ces entreprises ont des liens avec des individus ukrainiens. Les principales cibles de ces publicités trompeuses sont les utilisateurs de macOS aux États-Unis, au Canada, en Australie, en France et en Allemagne. ## Capacités de FlutterShell décortiquées **FlutterShell**, construit avec le framework **Flutter**, infecte les cibles en se faisant passer pour des applications de bureau légitimes. **Unit 42** note qu'« en plus de sa fonctionnalité adware, le payload possède des capacités de backdoor, y compris l'exécution de commandes shell et la manipulation du système de fichiers ».  Le backdoor prend en charge l'exécution de commandes arbitraires, l'interaction avec le système de fichiers et l'exfiltration des variables d'environnement. Ces efforts ont été détectés aussi récemment qu'en mars 2026. De manière alarmante, tous les échantillons **FlutterShell** observés étaient signés avec des **Apple Developer IDs** valides et avaient passé avec succès le processus de notarisation d'**Apple**. Cela signifie que les contrôles de sécurité automatisés d'**Apple** n'ont pas réussi à les signaler comme malveillants au moment de la soumission, permettant au malware de contourner des mesures de sécurité critiques de macOS. Lors de l'exécution, **FlutterShell** modifie les fichiers de configuration de **Google Chrome**, détournant le navigateur pour forcer tout le trafic à passer par un site intermédiaire contrôlé par l'attaquant et rempli de publicités. ## Architecture WebView : une menace dynamique Un aspect technique clé de **FlutterShell** est son architecture basée sur WebView, qui utilise un pont JavaScript-vers-natif. Cette conception permet aux adversaires d'héberger une logique malveillante sur un site Web externe plutôt que de l'intégrer directement dans le binaire de l'application. « Dans une architecture basée sur WebView, une application native utilise un composant de navigateur Web intégré pour afficher du contenu », explique **Unit 42**. « Le pont JavaScript-vers-natif agit comme un canal de communication entre ce contenu Web et l'application native hôte, leur permettant d'échanger des données et d'invoquer des fonctionnalités croisées ». Cette approche donne aux attaquants la capacité de modifier dynamiquement le comportement du malware en temps réel sans avoir à recompiler ou à pousser des versions mises à jour vers les hôtes compromis, rendant la détection et la défense plus difficiles. ## Développement actif et menace persistante Les chercheurs ont identifié trois variantes distinctes de **FlutterShell** : **PodcastsLounge**, **PDF-Brain** et **PDF-Ninja**. La présence de fonctions inachevées dans la logique JavaScript hébergée sur l'infrastructure des attaquants suggère que le malware est en cours de développement actif. Notamment, **PDF-Brain** et **PDF-Ninja** disposent d'une capacité de résumé alimentée par l'intelligence artificielle (IA), transmettant des documents via un serveur contrôlé par l'attaquant pour traitement. Le malware effectue également une empreinte système et vole des données de session du navigateur. Des similitudes techniques, en particulier l'architecture de code basée sur WebView pour les changements de payload dynamiques, lient **FlutterShell** à **Calendaromatic** et **Recipe Lister**. De plus, **Advantage Web Marketing LLC** a été observé non seulement distribuant des publicités malveillantes, mais agissant également comme signataire pour des variantes d'adware Windows associées au cluster. **Unit 42** avertit que « l'évolution de **JSCoreRunner** à **FlutterShell** représente une augmentation significative de la profondeur technique pour les attaquants derrière **CL-CRI-1089** ». Ils soulignent l'ampleur du réseau de distribution et l'utilisation d'entités écrans vérifiées pour contourner le vetting des réseaux publicitaires, mettant en évidence le danger persistant du malvertising. « La coordination de plusieurs entités écrans, et le développement et la livraison rapides de nouvelles variantes de **FlutterShell**, indiquent que cette campagne est loin d'être terminée ».