Le malware NordDragonScan siphonne toutes vos données sans alerte sur Windows
Cyrille Jeunehomme — 10 juillet, 2025
Ce que la majorité ignore encore, c’est la façon dont les nouveaux malwares s’appuient sur les outils natifs de Windows pour passer sous le radar des antivirus traditionnels. NordDragonScan, récemment identifié, utilise mshta.exe, un outil légitime, pour infiltrer un poste sans générer de suspicion.
Cette méthode de dissimulation, appelée “living off the land”, est de plus en plus utilisée : elle permet à la menace de se cacher derrière les fonctions du système, de contourner de nombreux dispositifs de sécurité, et d’infecter les postes les mieux protégés. Cette évolution prouve que les cybercriminels misent désormais sur la furtivité et l’exploitation des usages quotidiens des utilisateurs pour maximiser leur impact.
Le fonctionnement technique du malware : entre discrétion et efficacité redoutable
NordDragonScan ne se contente pas d’entrer en douce : il cartographie, analyse et aspire tout ce qui compte sur un ordinateur. Après avoir infiltré la machine via un fichier RAR piégé et un raccourci LNK, il lance un script malveillant sans éveiller les soupçons. La première étape consiste à scanner l’environnement : informations système, architecture, mémoire, interfaces réseau, rien n’échappe à sa vigilance. Cette analyse sert à dresser une carte précise du poste… mais aussi de tout le réseau local, pour éventuellement préparer d’autres attaques ou rebonds vers d’autres machines.
Ensuite, la cible passe aux choses sérieuses : le malware copie méthodiquement tous les fichiers importants (documents Word, PDF, profils de navigateurs, etc.) dans un dossier temporaire. Il réalise même une capture d’écran du poste pour obtenir une vue d’ensemble de ce que l’utilisateur fait au moment de l’infection. Une fois la récolte terminée, toutes les données sont compressées et exfiltrées via une connexion TLS sécurisée, avec des en-têtes personnalisés pour brouiller les pistes.
Les fichiers concernés et la méthode d’exfiltration dévoilées
Ce qui rend NordDragonScan particulièrement vicieux, c’est sa capacité à cibler exactement les dossiers et fichiers les plus stratégiques. Le Bureau, les Documents et les Téléchargements sont systématiquement fouillés, tout comme les profils utilisateurs de Chrome et Firefox. Les extensions .docx, .xls, .rdp, .pdf et autres sont systématiquement copiées pour être expédiées vers un serveur contrôlé par les attaquants, souvent situé à l’étranger. Le transfert s’effectue avec chiffrement TLS, garantissant que même si une interception avait lieu, les fichiers restent illisibles sans la clé du pirate.
Le malware ajoute une clé au registre Windows pour se relancer automatiquement à chaque démarrage, assurant ainsi sa persistance et la continuité de la surveillance. Même si l’utilisateur pense avoir supprimé le fichier initial, NordDragonScan peut survivre dans l’ombre du système.
Comment NordDragonScan agit sur Windows ?
| Étape | Action du malware | Objectif principal |
|---|---|---|
| Infiltration | Fichier RAR + raccourci LNK + script mshta.exe | Prise de contrôle initiale |
| Cartographie | Scan du système et du réseau local via .NET et WMI | Repérage des failles et de la cible |
| Collecte | Copie des fichiers, profils navigateurs, capture d’écran | Récupération de données sensibles |
| Exfiltration | Envoi des fichiers via TLS vers un serveur distant | Transfert sécurisé des informations |
| Persistance | Clé registre Windows pour démarrage automatique | Rester actif après redémarrage |
Il ne s’agit plus d’un simple virus, mais d’une attaque complète, pensée pour rester invisible et faire main basse sur tout ce qui compte dans un PC sous Windows. La seule parade ? Ne jamais ouvrir les fichiers suspects, garder son antivirus à jour et surveiller les processus système, même les plus anodins. Car en 2025, la menace se cache souvent là où on l’attend le moins… et c’est justement ce qui la rend si dangereuse.