SevenTnewS

Menace persistante avancée

L'APT ToddyCat déploie le malware Umbrij pour détourner Gmail via le vol de jetons OAuth

Le nouvel outil de ToddyCat, Umbrij, automatise le vol de jetons OAuth à partir de sessions Gmail actives en lançant les navigateurs Chromium en mode headless et en les contrôlant via des ports de débogage à distance. Le malware peut extraire des codes d'autorisation accordant un accès complet à Gmail, Drive, Contacts, Calendrier et Tâches.

Emmanuel Fabrice Omgbwa Yasse

2026-07-02 · 4 min de lecture

L'APT ToddyCat déploie le malware Umbrij pour détourner Gmail via le vol de jetons OAuth

Kaspersky a publié un rapport détaillé identifiant une nouvelle souche de malware appelée Umbrij, qu'ils attribuent au groupe de menace persistante avancée ToddyCat. Umbrij est conçu pour voler les codes d'autorisation OAuth des sessions Google actives en exploitant les capacités de débogage à distance des navigateurs basés sur Chromium. La technique, nom de code Shadow Token via Remote Debug (STRD), permet à l'adversaire d'accéder aux communications de messagerie professionnelle hébergées sur Gmail sans avoir besoin d'identifiants utilisateur.

Selon Kaspersky, les attaquants ont développé Umbrij pour acquérir des jetons OAuth et les utiliser pour se connecter à la console de gestion d'un navigateur en mode headless via un port de débogage à distance. Le malware émet ensuite une série de requêtes pour obtenir un code d'autorisation OAuth, qui est échangé contre un jeton d'accès fournissant un accès au niveau API aux ressources cibles. Ce qui rend cette attaque particulièrement efficace, c'est qu'elle n'oblige pas la victime à cliquer sur des liens malveillants ou à télécharger des pièces jointes suspectes ; elle exploite simplement une session Gmail active existante sur un hôte compromis.

Flux d'attaque et détails techniques

Umbrij est une DLL basée sur .NET obfusquée avec ConfuserEx et déployée via un détournement de DLL (DLL side-loading). Kaspersky a identifié trois binaires légitimes abusés à cette fin : BDSubWiz.exe (un composant de Bitdefender), VSTestVideoRecorder.exe (faisant partie de Microsoft Visual Studio) et GoogleDesktop.exe (une application Google Desktop Search abandonnée). Le malware peut être invoqué avec des paramètres de ligne de commande spécifiant les navigateurs cibles (Google Chrome ou Microsoft Edge), s'il faut enregistrer une capture d'écran du profil utilisateur au format PDF, et le nom d'utilisateur système sous lequel l'outil s'exécutera.

Une fois lancé, Umbrij effectue une série d'actions préparatoires sur un hôte Windows compromis. Il vérifie la disponibilité du port désigné pour le débogage du navigateur, récupère le contexte utilisateur en recherchant 'explorer.exe' et en dupliquant son jeton pour conserver tous les privilèges de l'utilisateur connecté, et construit le chemin vers le dossier de l'application du navigateur dans les données d'application locales de l'utilisateur. Le malware analyse ensuite le fichier Local State correspondant à Chrome ou Edge pour rassembler des informations sur les profils d'utilisateur du navigateur stockés.

Umbrij énumère tous les profils et les analyse à la recherche d'un champ nommé 'user_name' qui inclut une adresse e-mail ; la présence d'une adresse e-mail signale que l'utilisateur est authentifié auprès d'un service Google. Il crée un répertoire 'BackupFiles' dans les dossiers appdata locaux du navigateur et copie des fichiers de profil critiques tels que IndexedDB, Local Storage, Network, Login Data, Preferences et Web Data. Un mécanisme de copie forcée garantit que les fichiers verrouillés sont tout de même copiés.

Exploitation du navigateur en mode headless

Le malware recherche ensuite dans les dossiers 'Program Files' et 'Program Files (x86)' les installations de Chrome et Edge. Il lance les navigateurs en mode headless en utilisant le profil copié, ce qui les amène à appliquer tous les cookies utilisateur actifs, y compris le compte Google connecté, et à ignorer l'authentification. En utilisant Puppeteer, une bibliothèque JavaScript pour contrôler les navigateurs basés sur Chromium via le protocole Chrome DevTools, Umbrij se connecte au port de débogage à distance et envoie une demande de code d'autorisation.

La requête HTTP GET dirige le navigateur vers une URL OAuth de Google à 'accounts.google.com/o/oauth2/v2/auth/identifier' avec un 'client_id' correspondant à un outil de migration utilisé pour importer des fichiers PST locaux et des données de comptes Microsoft Exchange dans un compte Google Workspace. La requête spécifie également l'ensemble des autorisations requises par l'application. Le JavaScript émule des événements de clic de souris pour sélectionner le compte Google approprié et accorder un accès complet à Gmail, Drive, Contacts, Calendrier et Tâches.

La session du navigateur est redirigée vers une adresse locale spécifiée dans la requête initiale, et le code d'autorisation OAuth est extrait de l'URL. 'Umbrij, comme la plupart des autres outils de l'arsenal de ToddyCat, consigne ses actions en détail et les enregistre dans un fichier. Il enregistre également le code d'autorisation récupéré dans ce fichier journal, que l'opérateur exfiltre ensuite de l'hôte compromis,' a noté Kaspersky.

Attribution et contexte historique

ToddyCat est le nom attribué à un groupe APT actif depuis au moins 2020, ciblant des organisations en Europe et en Asie. Le groupe a déjà démontré son intérêt pour l'exfiltration de données de messagerie. En novembre 2025, Kaspersky a détaillé l'utilisation par ToddyCat d'un outil personnalisé appelé TCSectorCopy pour voler des données de messagerie Microsoft Outlook d'entreprises ciblées.

La découverte d'Umbrij est notable pour son automatisation. 'Le groupe APT ToddyCat continue de chercher des moyens de compromettre les communications de messagerie professionnelle. Leur nouvel outil, Umbrij, automatise les tentatives des attaquants pour accéder aux comptes de messagerie organisationnels. Cette automatisation contribue non seulement à accroître l'ampleur et la fréquence de leurs attaques, mais démontre également la forte motivation et les compétences techniques avancées de ToddyCat,' a déclaré Andrey Gunkin, analyste principal des malwares chez Kaspersky.

Conseils d'atténuation

Pour contrer la menace, les organisations et les individus doivent examiner les codes d'autorisation accordés aux applications en naviguant vers 'myaccount.google.com/connections' et en recherchant les applications nommées 'Google Workspace Migration for Microsoft Outlook' ou 'Google Workspace Sync for Microsoft Outlook.' Si l'une de ces applications est présente et n'est pas réellement utilisée, il est essentiel de révoquer leur accès pour invalider les jetons OAuth. Compte tenu de la sophistication de l'attaque, il est également conseillé aux utilisateurs de surveiller les extensions de navigateur et de s'assurer que les navigateurs basés sur Chromium sont tenus à jour.