CyberVeille.ch📢 Fancy Bear déploie NotDoor : backdoor Outlook via macros et DLL side-loading ciblant l’OTAN
📝 Selon le blog PolySwarm, le groupe lié au renseignement russe Fancy Bear (APT28) a déployé NotDoor, un backdoor...
📖 cyberveille : https://cyberveille.ch/posts/2025-09-15-fancy-bear-deploie-notdoor-backdoor-outlook-via-macros-et-dll-side-loading-ciblant-lotan/
🌐 source : https://blog.polyswarm.io/fancy-bear-uses-notdoor-to-target-nato-countries
#APT28 #DLL_side_loading #Cyberveille
📝 Selon le blog PolySwarm, le groupe lié au renseignement russe Fancy Bear (APT28) a déployé NotDoor, un backdoor...
📖 cyberveille : https://cyberveille.ch/posts/2025-09-15-fancy-bear-deploie-notdoor-backdoor-outlook-via-macros-et-dll-side-loading-ciblant-lotan/
🌐 source : https://blog.polyswarm.io/fancy-bear-uses-notdoor-to-target-nato-countries
#APT28 #DLL_side_loading #Cyberveille
Fancy Bear déploie NotDoor : backdoor Outlook via macros et DLL side-loading ciblant l’OTAN
Selon le blog PolySwarm, le groupe lié au renseignement russe Fancy Bear (APT28) a déployé NotDoor, un backdoor sophistiqué pour Outlook visant des pays membres de l’OTAN. • Le malware repose sur des macros VBA et abuse un binaire Microsoft OneDrive.exe signé vulnérable au DLL side-loading pour charger une SSPICLI.dll malveillante. Cette DLL installe des macros dans VbaProject.OTM d’Outlook, fournissant le point d’accès du backdoor. • NotDoor surveille des déclencheurs e-mail tels que « Daily Report », puis parse des commandes chiffrées via un encodage Base64 personnalisé avec préfixes aléatoires. Il prend en charge quatre types de commandes: cmd, cmdno, dwn, upl.