Le malware NordDragonScan siphonne toutes vos données sans alerte sur Windows

Cyrille Jeunehomme — 10 juillet, 2025

Sommaire
ransomware

Ce que la majorité ignore encore, c’est la façon dont les nouveaux malwares s’appuient sur les outils natifs de Windows pour passer sous le radar des antivirus traditionnels. NordDragonScan, récemment identifié, utilise mshta.exe, un outil légitime, pour infiltrer un poste sans générer de suspicion.

Cette méthode de dissimulation, appelée “living off the land”, est de plus en plus utilisée : elle permet à la menace de se cacher derrière les fonctions du système, de contourner de nombreux dispositifs de sécurité, et d’infecter les postes les mieux protégés. Cette évolution prouve que les cybercriminels misent désormais sur la furtivité et l’exploitation des usages quotidiens des utilisateurs pour maximiser leur impact.

Le fonctionnement technique du malware : entre discrétion et efficacité redoutable

NordDragonScan ne se contente pas d’entrer en douce : il cartographie, analyse et aspire tout ce qui compte sur un ordinateur. Après avoir infiltré la machine via un fichier RAR piégé et un raccourci LNK, il lance un script malveillant sans éveiller les soupçons. La première étape consiste à scanner l’environnement : informations système, architecture, mémoire, interfaces réseau, rien n’échappe à sa vigilance. Cette analyse sert à dresser une carte précise du poste… mais aussi de tout le réseau local, pour éventuellement préparer d’autres attaques ou rebonds vers d’autres machines.

Ensuite, la cible passe aux choses sérieuses : le malware copie méthodiquement tous les fichiers importants (documents Word, PDF, profils de navigateurs, etc.) dans un dossier temporaire. Il réalise même une capture d’écran du poste pour obtenir une vue d’ensemble de ce que l’utilisateur fait au moment de l’infection. Une fois la récolte terminée, toutes les données sont compressées et exfiltrées via une connexion TLS sécurisée, avec des en-têtes personnalisés pour brouiller les pistes.

Les fichiers concernés et la méthode d’exfiltration dévoilées

Ce qui rend NordDragonScan particulièrement vicieux, c’est sa capacité à cibler exactement les dossiers et fichiers les plus stratégiques. Le Bureau, les Documents et les Téléchargements sont systématiquement fouillés, tout comme les profils utilisateurs de Chrome et Firefox. Les extensions .docx, .xls, .rdp, .pdf et autres sont systématiquement copiées pour être expédiées vers un serveur contrôlé par les attaquants, souvent situé à l’étranger. Le transfert s’effectue avec chiffrement TLS, garantissant que même si une interception avait lieu, les fichiers restent illisibles sans la clé du pirate.

Le malware ajoute une clé au registre Windows pour se relancer automatiquement à chaque démarrage, assurant ainsi sa persistance et la continuité de la surveillance. Même si l’utilisateur pense avoir supprimé le fichier initial, NordDragonScan peut survivre dans l’ombre du système.

Comment NordDragonScan agit sur Windows ?

ÉtapeAction du malwareObjectif principal
InfiltrationFichier RAR + raccourci LNK + script mshta.exePrise de contrôle initiale
CartographieScan du système et du réseau local via .NET et WMIRepérage des failles et de la cible
CollecteCopie des fichiers, profils navigateurs, capture d’écranRécupération de données sensibles
ExfiltrationEnvoi des fichiers via TLS vers un serveur distantTransfert sécurisé des informations
PersistanceClé registre Windows pour démarrage automatiqueRester actif après redémarrage

Il ne s’agit plus d’un simple virus, mais d’une attaque complète, pensée pour rester invisible et faire main basse sur tout ce qui compte dans un PC sous Windows. La seule parade ? Ne jamais ouvrir les fichiers suspects, garder son antivirus à jour et surveiller les processus système, même les plus anodins. Car en 2025, la menace se cache souvent là où on l’attend le moins… et c’est justement ce qui la rend si dangereuse.

Infogérance & services hébergés,
géré par des Experts