Publié le 8 octobre 2025 00:54:00. Un groupe de cybercriminels vietnamien, connu sous le nom de Batshadow, cible les demandeurs d’emploi et les professionnels du marketing numérique via des campagnes d’ingénierie sociale sophistiquées, leur faisant télécharger un logiciel malveillant appelé Vampire Bot.
- Batshadow utilise des descriptions de postes et des documents d’entreprise falsifiés pour diffuser des logiciels malveillants.
- Le logiciel malveillant, basé sur le langage de programmation Go, permet aux attaquants de surveiller les systèmes compromis, de voler des données et d’exécuter des commandes à distance.
- Les attaquants incitent les victimes à utiliser le navigateur Microsoft Edge pour contourner les mesures de sécurité intégrées à d’autres navigateurs.
Des chercheurs en cybersécurité ont mis en évidence une nouvelle campagne menée par un acteur de menace vietnamien appelé Batshadow. Cette campagne se distingue par l’utilisation de tactiques d’ingénierie sociale élaborées visant à tromper les demandeurs d’emploi et les spécialistes du marketing numérique. L’objectif est de les amener à télécharger et à exécuter un logiciel malveillant précédemment non détecté, baptisé Vampire Bot.
Selon un rapport partagé avec The Hacker News, les attaquants se font passer pour des recruteurs et distribuent des fichiers malveillants déguisés en offres d’emploi et en documents d’entreprise.
« Les attaquants se présentent en tant que recruteurs, distribuant des fichiers malveillants déguisés en descriptions de travail et en documents d’entreprise »,
Additya Sood et Varadharajan K
Lorsque ces fichiers sont ouverts, ils déclenchent une chaîne d’infection complexe basée sur le langage de programmation Go.
La chaîne d’attaque repose sur des archives ZIP contenant des documents PDF piégés, ainsi que des fichiers de raccourci malveillants (LNK) ou des fichiers exécutables déguisés en PDF. Ces leurres sont conçus pour inciter les utilisateurs à les ouvrir. Une fois lancé, le fichier LNK exécute un script PowerShell intégré qui se connecte à un serveur externe pour télécharger un document d’appât, par exemple une offre d’emploi dans le marketing chez Marriott.
Le script PowerShell télécharge également, depuis le même serveur, une archive ZIP contenant des fichiers liés à Xtraviewer, un logiciel de connexion de bureau à distance. L’exécution de ces fichiers permet probablement aux attaquants d’établir un accès persistant aux systèmes compromis.
Les victimes qui cliquent sur un lien dans le PDF piégé sont redirigées vers une page d’erreur simulant un problème de compatibilité avec leur navigateur. Un message leur indique que la page ne prend en charge que les téléchargements via Microsoft Edge.
« Lorsque l’utilisateur clique sur le bouton OK, Chrome bloque simultanément la redirection »,
Aryaka
La page affiche ensuite un autre message demandant à l’utilisateur de copier l’URL et de l’ouvrir dans Edge pour télécharger le fichier.
Cette instruction spécifique d’utiliser Edge plutôt que d’autres navigateurs comme Google Chrome est probablement due au fait que les fenêtres contextuelles et les redirections sont souvent bloquées par défaut dans ces derniers. En copiant et en collant manuellement l’URL dans Edge, les victimes contournent ces protections, permettant ainsi à la chaîne d’infection de se poursuivre.
Si la victime choisit d’ouvrir la page dans Edge, l’URL est lancée automatiquement, affichant un second message d’erreur : « La visionneuse PDF en ligne rencontre actuellement un problème. Le fichier a été compressé et envoyé sur votre appareil. » Cela déclenche alors le téléchargement automatique d’une archive ZIP contenant la prétendue description de poste, incluant un exécutable malveillant (“marriott_marketing_job_description.pdf.exe”) qui imite un PDF en ajoutant des espaces inutiles entre “.pdf” et “.exe”.
Cet exécutable est en réalité Vampire Bot, un logiciel malveillant écrit en Golang. Il permet aux attaquants de profiler les systèmes infectés, de voler une grande variété d’informations, de capturer des captures d’écran à intervalles réguliers et de maintenir une communication constante avec un serveur contrôlé par les attaquants (“API3.SamsungCareers[.]travailler”) pour exécuter des commandes ou télécharger des charges utiles supplémentaires.
Les liens de Batshadow avec le Vietnam ont été établis grâce à l’utilisation d’une adresse IP (103.124.95[.]161) précédemment signalée comme étant associée à des activités de piratage provenant de ce pays. De plus, les professionnels du marketing numérique ont été identifiés comme l’une des cibles privilégiées par divers groupes de cybercriminels vietnamiens motivés financièrement, qui ont déjà déployé des logiciels malveillants de vol d’informations pour compromettre des comptes Facebook commerciaux. Plus d’informations sur les tactiques des hackers vietnamiens.
En octobre 2024, Cyble a également révélé les détails d’une campagne d’attaque sophistiquée en plusieurs étapes orchestrée par un acteur de menace vietnamien ciblant les demandeurs d’emploi et les professionnels du marketing numérique avec Quasar Rat, via des e-mails de phishing contenant des fichiers de description de travail piégés.
Batshadow est actif depuis au moins un an, avec des campagnes antérieures utilisant des domaines similaires comme Samsung-Work[.]com pour propager diverses familles de logiciels malveillants, notamment Tesla Agent, Lumma Stealer et Venom Rat. Exemples de domaines utilisés.
Selon Aryaka,
« Le groupe de menaces Batshadow continue d’employer des tactiques sophistiquées d’ingénierie sociale pour cibler les demandeurs d’emploi et les professionnels du marketing numérique. En tirant parti de documents déguisés et d’une chaîne d’infection en plusieurs étapes, le groupe fournit un bot de vampire basé sur GO capable de surveillance système, d’exfiltration de données et d’exécution des tâches à distance. »
