Des chercheurs en cybersécurité ont révélé les détails d'une campagne en cours appelée KongTuke qui utilisait une extension malveillante de Google Chrome se faisant passer pour un bloqueur de publicités pour planter délibérément le navigateur Web et inciter les victimes à exécuter des commandes arbitraires à l'aide de leurres de type ClickFix pour fournir un cheval de Troie d'accès à distance (RAT) jusqu'alors non documenté appelé ModeloRAT.
Cette nouvelle ascension ClickFix a été baptisée CrashFix par Huntress.
KongTuke, également suivi sous les noms 404 TDS, Chaya_002, LandUpdate808 et TAG-124, est le nom donné à un système de distribution de trafic (TDS) connu pour profiler les hôtes victimes avant de les rediriger vers un site de livraison de charge utile qui infecte leurs systèmes. L'accès à ces hôtes compromis est ensuite transféré à d'autres acteurs de la menace, y compris des groupes de ransomwares, pour une diffusion ultérieure de logiciels malveillants.
Certains des groupes cybercriminels qui ont exploité l'infrastructure TAG-124 incluent le ransomware Rhysida, le ransomware Interlock et TA866 (également connu sous le nom d'Asylum Ambuscade), et l'acteur menaçant est également associé à SocGholish et D3F@ck Loader, selon un rapport Recorded Future d'avril 2025.
Dans la chaîne d'attaque documentée par la société de cybersécurité, la victime aurait recherché un bloqueur de publicités lorsqu'elle aurait reçu une publicité malveillante la redirigeant vers une extension hébergée sur la boutique en ligne officielle de Chrome.
L'extension de navigateur en question, « NexShield – Advanced Web Guardian » (ID : cpcdkmjddocikjdkbbeiaafnpdbdafmi), se présente comme le « bouclier de confidentialité ultime » et prétend protéger les utilisateurs contre les publicités, les trackers, les logiciels malveillants et les contenus intrusifs sur les pages Web. Il a été téléchargé au moins 5 000 fois. Il n'est actuellement plus disponible en téléchargement.
L'extension, selon Huntress, est un clone presque identique de la version 2025.1116.1841 d'uBlock Origin Lite, un plugin légitime de blocage des publicités disponible pour les principaux navigateurs Web. Il est conçu pour afficher un faux avertissement de sécurité, affirmant que le navigateur s'est « arrêté anormalement » et invitant les utilisateurs à lancer une « analyse » pour remédier à une éventuelle menace de sécurité détectée par Microsoft Edge.
Si l'utilisateur choisit d'exécuter l'analyse, la victime reçoit une fausse alerte de sécurité lui demandant d'ouvrir la boîte de dialogue Exécuter de Windows, de coller la commande affichée déjà copiée dans le presse-papiers et de l'exécuter. Ceci, à son tour, provoque le blocage complet du navigateur, le faisant planter en lançant une attaque par déni de service (DoS) qui crée de nouvelles connexions de port d'exécution via une boucle infinie qui déclenche des milliards d'itérations de la même étape à plusieurs reprises.
Cette technique d'épuisement des ressources entraîne une consommation excessive de mémoire, ce qui ralentit le navigateur Web, ne répond plus et finit par planter.
Une fois installée, l'extension est également conçue pour transmettre un identifiant unique à un serveur contrôlé par un attaquant (“nexsnield[.]com”), qui donne aux opérateurs la possibilité de suivre les victimes. De plus, il adopte un mécanisme d'exécution retardée qui garantit que le comportement malveillant n'est activé que 60 minutes après son installation. Après cela, la charge utile est exécutée toutes les 10 minutes.
“La fenêtre pop-up n'apparaît qu'au lancement du navigateur après qu'il ne répond plus”, ont déclaré les chercheurs Anna Pham, Tanner Filip et Dani López. “Avant l'exécution de DoS, un horodatage est stocké dans le stockage local. Lorsque l'utilisateur ferme et redémarre son navigateur, le contrôleur de démarrage vérifie cet horodatage et, s'il existe, la fenêtre contextuelle CrashFix apparaît et l'horodatage est supprimé.”
“Le DoS n'est exécuté que si l'UUID existe (ce qui signifie que l'utilisateur est suivi), que le serveur C2 répond avec succès à une demande de récupération et que la fenêtre contextuelle a été ouverte au moins une fois puis fermée. Cette dernière condition peut être intentionnelle pour garantir l'interaction de l'utilisateur avec l'extension avant de déclencher la charge utile. “
Le résultat final est qu'il crée sa propre boucle, déclenchant le faux avertissement chaque fois que la victime ferme et redémarre le navigateur après qu'il a cessé de répondre en raison de l'attaque DoS. Dans le cas où l’extension n’est pas supprimée, l’attaque est à nouveau déclenchée au bout de 10 minutes.
La fenêtre contextuelle intègre également plusieurs techniques anti-analyse qui désactivent les menus contextuels du clic droit et empêchent les tentatives d'utilisation de raccourcis clavier pour lancer des outils de développement. La commande CrashFix utilise l'utilitaire Windows légitime, finger.exe, pour récupérer et exécuter la charge utile de l'étape suivante à partir du serveur de l'attaquant (« 199.217.98[.]108″). L'utilisation par KongTuke de la commande Finger a été documentée par le chercheur en sécurité Brad Duncan en décembre 2025.
La charge utile reçue du serveur est une commande PowerShell configurée pour récupérer un script PowerShell secondaire, qui à son tour reprend une page du playbook SocGholish, en utilisant plusieurs couches d'encodage Base64 et des opérations XOR pour masquer le malware de l'étape suivante.
Le blob déchiffré analyse les processus en cours à la recherche de plus de 50 outils d'analyse et indicateurs de machine virtuelle, et arrête immédiatement l'exécution s'il est trouvé. Il vérifie également si la machine est jointe à un domaine ou autonome et envoie une requête HTTP POST au même serveur contenant deux informations :
- Une liste des produits antivirus installés.
- Un indicateur avec la valeur « ABCD111 » pour les machines autonomes « WORKGROUP » ou « BCDA222 » pour les hôtes joints au domaine
Dans le cas où le système compromis est marqué comme appartenant à un domaine, la chaîne d'attaque KongTuke culmine avec le déploiement de ModeloRAT, un RAT Windows complet basé sur Python qui utilise le cryptage RC4 pour les communications de commande et de contrôle (C2) (« 170.168.103[.]208″ ou “158 247 252[.]178”), configure la persistance via le registre et facilite l'exécution de binaires, de DLL, de scripts Python et de commandes PowerShell.
ModeloRAT est équipé pour se mettre à jour ou se terminer dès réception d'une commande de mise à jour automatique (“VERSION_UPDATE”) ou de sortie (“TERMINATION_SIGNAL”). Il implémente également une logique de balise variée pour passer inaperçu.
“En fonctionnement normal, il utilise un intervalle standard de 300 secondes (5 minutes)”, a déclaré Huntress. “Lorsque le serveur envoie une commande de configuration d'activation, l'implant passe en mode actif avec une interrogation rapide à un intervalle configurable, 150 millisecondes par défaut.”
“Après six échecs de communication consécutifs ou plus, le RAT revient à un intervalle prolongé de 900 secondes (15 minutes) pour éviter toute détection. Lors de la récupération après un seul échec de communication, il utilise un intervalle de reconnexion de 150 secondes avant de reprendre ses opérations normales.”
Alors que l'attaque sur les machines appartenant à un domaine avec ModeloRAT suggère que KongTuke s'attaque aux environnements d'entreprise pour faciliter un accès plus approfondi, les utilisateurs sur des postes de travail autonomes sont soumis à une séquence d'infection distincte en plusieurs étapes qui se termine par la réponse du serveur C2 avec le message “TEST PAYLOAD!!!!”, indiquant qu'il pourrait encore être en phase de test.
“La campagne CrashFix de KongTuke démontre comment les acteurs de la menace continuent de faire évoluer leurs tactiques d'ingénierie sociale”, a conclu la société de cybersécurité. “En se faisant passer pour un projet open source fiable (uBlock Origin Lite), en bloquant délibérément le navigateur de l'utilisateur, puis en proposant une fausse solution, ils ont créé un cycle d'infection autonome qui se nourrit de la frustration des utilisateurs.”
