Un nouvel implant malveillant, baptisé RoadK1ll, a été identifié. Son rôle ? Permettre à des attaquants de passer discrètement d’une machine compromise à d’autres équipements au sein du même réseau.
Un puissant outil de pivot
Découvert par le fournisseur de réponse aux incidents Blackpoint, ce malware est un implant écrit en Node.js. Il est conçu pour établir un tunnel de communication constant avec les serveurs des pirates via un protocole WebSocket personnalisé.
RoadK1ll agit comme un outil de tunneling inversé léger. Son objectif principal est de transformer un ordinateur infecté en un point de relais contrôlable. De cette position, l’attaquant peut ensuite accéder à des systèmes et services internes qui ne sont normalement pas joignables depuis l’extérieur du périmètre de l’entreprise.
Un mode opératoire furtif
La particularité de cet implant réside dans son fonctionnement. Il ne laisse aucun écouteur entrant sur la machine compromise. A la place, il ouvre une connexion WebSocket sortante vers l’infrastructure des pirates. Ce tunnel sert ensuite à transmettre du trafic TCP sur demande.
Cette technique permet à l’attaquant de rester sous le radar plus longtemps. Les connexions vers les actifs internes semblent toutes provenir de la machine victime, héritant ainsi de sa position de confiance dans le réseau et contournant les contrôles classiques de sécurité périmétrique.
RoadK1ll prend également en charge plusieurs connexions simultanées via le même tunnel, ce qui permet des opérations rapides et multiples.
Commandes et redondance
Les chercheurs ont analysé le jeu de commandes limité que l’implant exécute. Il comprend notamment les instructions CONNECT pour ouvrir une connexion, DATA pour transmettre le trafic, et CLOSE pour mettre fin à une session.
Le mécanisme de re-connexion permet à l’implant de rétablir automatiquement le tunnel WebSocket en cas d’interruption, assurant un accès persistant sans intervention manuelle qui pourrait alerter les défenseurs.
Malgré cette limite, les analystes soulignent que l’implant représente une implémentation moderne et spécialisée pour la communication furtive. Il est flexible, efficace et simple à déployer, ce qui en fait un outil redoutable pour la progression latérale dans un réseau après l’infiltration initiale.
Blackpoint a publié une liste restreinte d’indicateurs de compromission, incluant une empreinte de hachage spécifique à RoadK1ll et une adresse IP utilisée par les attaquants.