Chaos RAT - Le malware open-source qui ravage Linux et Windows
Bon si vous pensiez que votre système Linux adoré était à l’abri des malwares, c’est raté comme votre dernière coup de cheveux ! Chaos RAT est en effet en train de faire des siennes partout et franchement, c’est pas joli joli. Ce petit salopard existe depuis 2017 et il continue pourtant de faire des dégâts en 2025. Et le pire, c’est qu’à la base c’était un outil tout à fait légitime !
Imaginez un peu… Vous êtes dev super libriste et vous travaillez pendant votre temps libre sur un outil d’administration à distance open-source, tout fier de contribuer à la communauté. Et là, paf ! Des cybercriminels récupèrent votre code et le transforment en arme de destruction massive.
Et bien c’est exactement ce qui est arrivé avec Chaos RAT. Au départ, c’était juste un Remote Administration Tool classique, développé en Golang pour pouvoir tourner sur plusieurs plateformes, mais depuis fin 2022, les cybercriminels l’ont détourné pour miner de la crypto et fouiner dans vos données.
Du coup, ce qui rend ce malware particulièrement vicieux, c’est sa capacité à se faire passer pour un outil légitime…. Logique ! Les attaquants le planquent dans des archives tar.gz avec des noms genre “NetworkAnalyzer” ou “SystemDiagnostic”. Vous croyez télécharger un utilitaire pour diagnostiquer votre réseau et boom, vous venez d’installer un RAT malveillant sur votre machine. Classique !
Le mode opératoire est toujours le même… ça commence par un email de phishing. “Urgent ! Mettez à jour votre système !” ou “Vérifiez vos diagnostics réseau !”. Un clic, un téléchargement, et c’est foutu. Une fois installé, Chaos RAT s’installe bien profond dans votre système en modifiant les cron jobs. Il ajoute discrètement des tâches dans /etc/crontab ou ailleurs, et même après un reboot, il est toujours là, bien au chaud.
Ce qui est vraiment flippant, c’est la communication avec le serveur de commande et contrôle (C2). Toutes les 30 secondes, ce truc envoie des messages JSON avec toutes les infos de votre système : OS, IP, adresse MAC, architecture… Tout y passe ! Les pirates ont littéralement une vue complète de votre machine et ils peuvent exécuter des commandes à distance, redémarrer votre système, ou simplement fouiner tranquillement dans vos fichiers.
Mais tout ceci serait d’un ennui mortel si les chercheurs d’Acronis n’avaient pas découvert une vulnérabilité critique dans le panneau web de Chaos RAT lui-même ! Les CVE-2024-30850 et CVE-2024-31839 permettent ainsi d’exécuter du code à distance sur le serveur du RAT. C’est l’arroseur arrosé version cybercriminalité !
Mais alors, une question que vous ne vous êtes surement pas posé depuis que vous avez commencé la lecture de cet article, c’est pourquoi Golang pour développer ce malware ? Et bien parce que c’est pratique, tout simplement. Avec Go, vous compilez une fois et ça tourne partout : Windows, Linux, macOS… Les cybercriminels adorent ça parce que ça leur fait gagner un temps fou. Alors, certes, les binaires sont plus gros et plus lents qu’en C++, mais franchement, quand vous pouvez cibler plusieurs plateformes avec le même code, vous vous en fichez un peu.
Pour se protéger, y’a pas 36 solutions. Déjà, arrêtez de cliquer sur n’importe quoi dans vos emails ! Ensuite, surveillez vos logs et vos cron jobs. Si vous voyez des trucs bizarres dans /etc/crontab, c’est mauvais signe. Vérifiez aussi les connexions sortantes suspectes, surtout celles qui ping des IP inconnues toutes les 30 secondes.
Les outils comme chkrootkit ou rkhunter peuvent vous aider à détecter ce genre de saloperies. Et pitié, activez SELinux ou AppArmor ! Je sais, c’est chiant à configurer, mais croyez-moi, c’est moins chiant que de se faire pwn par un RAT. Configurez aussi votre firewall pour bloquer les connexions non autorisées. Bref, la base !
Ce qui est vraiment inquiétant avec Chaos RAT, c’est qu’il reste relativement discret comparé à d’autres malwares. Pas de gros voyants rouges qui clignotent, pas de ransomware qui chiffre tout votre disque. Non, il s’installe tranquillement et attend. Les pirates peuvent du coup s’en servir pour de l’espionnage industriel, du vol de données, ou simplement comme point d’entrée pour balancer d’autres malwares plus méchants.
Les experts en sécurité de LinuxSecurity d’où je tire cette info, rappellent que le phishing reste la méthode d’infection principale. Donc avant de télécharger ce super outil trouvé dans un email louche, posez-vous deux secondes. Est-ce que c’est vraiment légitime ? Est-ce que l’expéditeur est fiable ? Et dans le doute, abstenez-vous !
Bref, n’oubliez pas que n’importe quel outil peut devenir une arme entre de mauvaises mains et restez vigilants, mettez à jour vos systèmes, et surtout, méfiez-vous des tar.gz qui tombent du ciel ! Parce que franchement, se faire avoir par un malware daté de 2017, c’est vraiment la lose totale.
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).