Depuis 2023, un nouveau type de menace plane sur la toile : des hackers liés à la Chine utilisent un framework JavaScript nommé PeckBirdy. Ce n’est pas n’importe quel script, c’est un véritable couteau suisse pour contrôler à distance les machines ciblées. Et il est loin d’être limité aux seuls environnements web.
PeckBirdy, le framework JavaScript multi-usage des hackers chinois
Ce qui frappe avec PeckBirdy, c’est sa capacité à se déployer partout. Que ce soit dans des navigateurs, via des outils Windows comme MSHTA, WScript, ou même dans des environnements plus modernes comme Node JS et .NET, ce framework s’adapte. Il repose sur un vieux langage appelé JScript, ce qui étonnera plus d’un. Officiellement dépassé, offline, presque oublié.
Pourtant, cette obsolescence est précisément ce qui le rend insidieux. PeachBirdy exploite les LOLBins (Living Off The Land Binaries), ces outils légitimes du système détournés pour lancer ses attaques. Une vraie carte maîtresse pour passer sous les radars des défenses classiques.
Des cibles variées : casinos, institutions et sites gouvernementaux
Les premières victimes détectées sont des établissements de jeux d’argent en ligne chinois, subtilisés dès 2023 via des scripts malveillants. Mais ça ne s’arrête pas là. En 2024, on trouve PeckBirdy en action chez des organismes gouvernementaux et des entreprises privées asiatique, comme une université philippine. Le mode opératoire ? Injecter ses liens malicieux dans des pages web sensibles, souvent de connexion, pour récolter des identifiants.
Un exemple frappant est cette attaque sur une page de login gouvernementale, où PeckBirdy s’infiltre via MSHTA, transformant l’accès en porte dérobée vers le réseau interne. Sans alerter la moindre alarme.
Comment PeckBirdy s’installe et communique avec ses serveurs
Une clé du succès du framework : la manière dont il se connecte à ses serveurs de commande et contrôle (C2). Cela passe d’abord par une étape d’identification du contexte d’exécution. PeckBirdy génère un identifiant unique pour chaque victime, histoire de gérer ses cibles efficacement et discrètement.
La communication, elle, se fait principalement via WebSocket, un protocole léger et souvent sous-estimé dans sa capacité à brouiller les pistes. Si jamais ça coince, il sait passer par des alternatives comme le Comet ou même des objets ActiveX Flash. Oui, Flash ! Rien ne semble épargné pour maintenir la connexion.
Un arsenal de scripts et backdoors modulaires
Au cœur de PeckBirdy, c’est un vrai laboratoire de malveillance. Il déploie des scripts pour voler des cookies, exploiter une ancienne faille Chrome (CVE-2020-16040), ou afficher des pop-ups pour piéger les victimes. Sans oublier les portes dérobées HOLODONUT et MKDOOR, deux backdoors modulaires capables de charger des plugins divers selon les ordres reçus.
HOLODONUT tourne sous .NET et s’appuie sur un downloader simple nommé NEXLOAD, tandis que MKDOOR se distingue par sa capacité à se désinstaller proprement. Des outils bien pensés pour persister longtemps dans des environnements ultra-surveillés.
Qui sont derrière PeckBirdy ? Des acteurs étatiques liés à la Chine
Les indices ne laissent pas trop de doutes. Plusieurs liens techniques et comportementaux pointent vers des groupes proches du gouvernement chinois. Par exemple, sur des serveurs PeckBirdy, on a retrouvé une porte dérobée utilisée par un groupe appelé UNC3569 et des éléments similaires à ceux d’une campagne passée baptisée BIOPASS RAT.
Ce dernier est en lien avec des acteurs comme Earth Lusca, plus connu sous les noms Aquatic Panda ou RedHotel. Même les certificats utilisés pour signer certains composants remontent à des campagnes connues ciblant des entreprises chinoises de jeux en ligne.
Les leçons à tirer pour la cybersécurité en 2026
Détecter PeckBirdy est un vrai défi. Ses codes sont injectés à la volée, les fichiers ne restent jamais longtemps sur les machines, ce qui rend la traque classique quasi-inutile. Ces cyberattaques prouvent que se reposer sur les outils traditionnels ne suffit plus, surtout face à ce genre de malwares dynamiques.
Il faut comprendre que les techniques modernes passent souvent par la réutilisation de ressources légitimes du système. La vigilance doit donc s’exercer sur les comportements, pas uniquement sur les signatures ou les fichiers.
Source: thehackernews.com
- GTA 6 : Une sortie en version physique confirmée pour les fans ! - février 6, 2026
- Windows 11 en 2026 : Les grandes promesses de Microsoft pour l’avenir du système - février 6, 2026
- Windows 11 : Les mises à jour récentes perturbent l’expérience des joueurs - février 6, 2026
