### Accès initial via LinkedIn et Telegram L'attaque commence par des tactiques d'ingénierie sociale élaborées sur **LinkedIn** et **Telegram**. Les acteurs de la menace se font passer pour une société de capital-risque, approchant des victimes potentielles sur **LinkedIn**, puis déplaçant la conversation vers un groupe **Telegram** pour établir leur crédibilité. ### Exploitation des plugins communautaires d'Obsidian La cible reçoit l'instruction d'utiliser **Obsidian** pour accéder à un tableau de bord partagé en se connectant à un coffre-fort hébergé dans le cloud. Ce coffre-fort déclenche la séquence d'infection lors de son ouverture, invitant l'utilisateur à activer la synchronisation des "plugins communautaires installés", ce qui exécute du code malveillant. Les chercheurs Salim Bitam, Samir Bousseaden et Daniel Stepanic d'**Elastic Security Labs** ont mis en évidence l'exploitation de l'écosystème des plugins communautaires d'**Obsidian**, en particulier les plugins [Shell Commands](https://github.com/Taitava/obsidian-shellcommands) et [Hider](https://github.com/kepano/obsidian-hider). Ces plugins exécutent silencieusement du code lorsqu'une victime ouvre le coffre-fort malveillant. L'attaquant doit convaincre la cible d'activer manuellement la synchronisation des plugins communautaires, car celle-ci est désactivée par défaut. Le plugin **Hider** est utilisé conjointement avec **Shell Commands** pour masquer certains éléments de l'interface utilisateur d'**Obsidian**. ### Déploiement du RAT PHANTOMPULSE Sous Windows, les commandes exécutées invoquent un script **PowerShell** pour déposer un chargeur intermédiaire appelé **PHANTOMPULL**, qui déchiffre et lance **PHANTOMPULSE** en mémoire. **PHANTOMPULSE** est une backdoor générée par IA qui utilise la blockchain **Ethereum** pour résoudre son serveur de commande et contrôle (C2). Il récupère la dernière transaction associée à une adresse de portefeuille codée en dur ([https://etherscan.io/address/0xc117688c530b660e15085bF3A2B664117d8672aA](https://etherscan.io/address/0xc117688c530b660e15085bF3A2B664117d8672aA)). Le malware utilise **WinHTTP** pour la communication, lui permettant d'envoyer des données de télémétrie système, de récupérer des commandes, de transmettre des résultats d'exécution, de téléverser des fichiers/captures d'écran et de capturer les frappes au clavier. Les commandes prises en charge incluent : * `inject` : Injecter du shellcode/DLL/EXE dans le processus cible. * `drop` : Déposer un fichier sur le disque et l'exécuter. * `screenshot` : Capturer et téléverser une capture d'écran. * `keylog` : Démarrer/arrêter un enregistreur de frappe. * `uninstall` : Initier la suppression de la persistance et effectuer un nettoyage. * `elevate` : Élever les privilèges à SYSTEM via le [moniker d'élévation COM](https://learn.microsoft.com/en-us/windows/win32/com/the-com-elevation-moniker). * `downgrade` : Transition de SYSTEM à un administrateur élevé. ### Vecteur d'attaque macOS Sous macOS, le plugin **Shell Commands** délivre un dropper **AppleScript** obfusqué qui itère sur une liste de domaines codés en dur, utilisant **Telegram** comme un "dead drop" pour la résolution C2 de secours. Cela permet une rotation facile de l'infrastructure C2. Le script dropper contacte le domaine C2 pour télécharger et exécuter une charge utile de second étage via `osascript`. La nature exacte de cette charge utile est actuellement inconnue car les serveurs C2 sont hors ligne. L'intrusion a été détectée et bloquée avant que l'attaquant ne puisse atteindre ses objectifs. ### Conclusion **Elastic** conclut que **REF6598** démontre comment les acteurs de la menace abusent de manière créative des applications de confiance pour l'accès initial et emploient une ingénierie sociale ciblée. En exploitant l'écosystème des plugins communautaires d'**Obsidian**, les attaquants contournent les contrôles de sécurité traditionnels, s'appuyant sur la fonctionnalité prévue de l'application pour exécuter du code arbitraire.