Pour se diffuser, le malware GPUGate se sert de GitHub et Google Ads

Le malware incite le personnel IT à télécharger des programmes d'installation GitHub Desktop frauduleux avec un décryptage basé sur le GPU. Il cible les données sensibles dans les environnements Windows et macOS.

Des chercheurs de la société en sécurité Artic Wolf ont découvert une campagne de malware ciblant des entreprises en Europe occidentale. Elle est diffusée via Google Ads et applique des techniques d’évasion sophistiquées. Baptisée GPUGate, l’attaque utilise des programmes d'installation GitHub Desktop malveillants pour distribuer sa charge utile en se faisant passer pour un logiciel officiel. Les attaquants passent par des plateformes de confiance pour contourner les méthodes de détection traditionnelles et inciter les utilisateurs à télécharger le malware.

« Le 19 août 2025, un cybercriminel a exploité la structure du référentiel GitHub ainsi que des emplacements payants sur Google Ads pour diriger les utilisateurs vers un téléchargement malveillant hébergé sur un domaine similaire », ont déclaré les chercheurs d'Arctic Wolf. « En intégrant un lien de commit spécifique dans la publicité, les attaquants ont fait croire que le téléchargement provenait d'une source officielle, trompant ainsi efficacement la vigilance habituelle des utilisateurs. » Les chercheurs ont également constaté que les opérateurs de GPUGate avaient incorporé des techniques d'évasion avancées, notamment un processus de décryptage basé sur le GPU qui garantit que le malware ne s'active que sur les systèmes équipés d'un matériel graphique spécifique.

Cibler les équipes IT à hauts privilèges

Le SOC d'Arctic Wolf a repéré le malware distribué via des publicités Google qui redirigeaient les utilisateurs vers des référentiels GitHub compromis. Ces publicités ont été conçues de façon à paraître légitimes mais qui utilisaient des liens de commits spécifiques imitant le véritable flux de GitHub. En pratique, une fois que les utilisateurs cliquaient dessus, ils étaient redirigés vers de faux domaines hébergeant un programme d'installation GitHub Desktop frauduleux Les publicités faisaient la promotion d’un programme d'installation « GitHub Desktop » ou des outils GitHub connexes, et les présentaient comme des téléchargements de logiciels officiels.

Avec cette approche, les pirates ont pu abuser de la crédibilité de GitHub et des publicités Google, contournant ainsi les contrôles de base et augmentant les chances de téléchargement. Selon les chercheurs, cette campagne visait à infiltrer les entreprises en incitant le personnel IT, qui dispose généralement de privilèges réseau élevés, à télécharger des logiciels malveillants sous le couvert d'installer GitHub Desktop, ce qui pouvait permettre le vol d'identifiants, l'exfiltration d'informations et même le déploiement de ransomware. « Une fois la charge utile exécutée par l'utilisateur, celle-ci obtient des droits d'administration, et peut se déplacer latéralement et persister », ont mis en garde les chercheurs.

Un déchiffrement basé sur le GPU

Le malware lui-même est livré sous forme de fichier Microsoft Software Installer (MSI) volumineux, d'environ 128 Mo. Il dispose d'un mécanisme de déchiffrement basé sur le GPU qui maintient la charge utile chiffrée tant qu'il ne détecte pas la présence d'un véritable GPU sur le système. Les chercheurs ont remarqué que cette conception permet à GPUGate de rester inactif dans les machines virtuelles, les environnements d'analyse automatisés ou les machines moins puissantes, ce qui rend son analyse extrêmement difficile pour les chercheurs en sécurité. Une fois activé, il lance PowerShell avec des paramètres conçus pour contourner les politiques d'exécution de Windows tout en masquant ses fenêtres à la vue de l'utilisateur. De plus, sa persistance est assurée par une tâche planifiée s'exécutant avec les privilèges d’administration les plus élevés, de sorte qu’il peut survivre aux redémarrages et continuer à fonctionner d'une session utilisateur à l'autre.

La campagne cible également les machines sous macOS, en distribuant AMOS Stealer (également connu sous le nom d'Atomic Stealer) via un programme d'installation sur mesure pour les processeurs x64 ou Arm. Ce voleur d'informations, vendu comme un malware en tant que service sur des forums clandestins, peut exfiltrer des données sensibles très diverses, notamment les mots de passe du trousseau, les profils VPN, les identifiants de navigateur, les données de messagerie instantanée, les documents et les portefeuilles de cryptomonnaie. Les chercheurs pensent que l'inclusion d'attaques multiplateformes montre que l'objectif de l'opérateur est d’obtenir un accès complet et persistant à divers environnements d'entreprise. « La malvertising et le géo-repérage utilisés sont personnalisés pour cibler spécifiquement les pays de l'UE », ont-ils ajouté. « D’après nos observations, les personnes travaillant dans le secteur de l’IT étaient directement visées. » Pour se protéger, Arctic Wolf recommande de combiner l'inspection à l'exécution avec le sandboxing, mais aussi de sensibiliser les utilisateurs, car les techniques avancées d'évasion et d'imitation convaincante de GPUGate rendent les défenses statiques insuffisantes.