Rare Werewolf : le groupe de hackers qui transforme vos machines russes en fermes à Monero

Une opération ciblée, discrète et redoutablement efficace

Le groupe, également connu sous les noms Librarian Ghouls ou Rezet, utilise une méthode bien connue, mais remarquablement bien adaptée à sa cible : des e-mails de phishing rédigés en russe, déguisés en correspondances officielles.

Ces messages contiennent :

• Des pièces jointes malveillantes (.doc, .pdf, .xls) imitant des documents d’entreprise (ordres de paiement, relevés, rapports internes).

• Des fichiers appâts avec des noms crédibles en russe pour inciter à l’ouverture.

Une fois ces pièces ouvertes, un logiciel malveillant s’installe et ouvre une porte dérobée (backdoor) dans l’ordinateur ciblé. Ce vecteur d’intrusion donne un accès distant complet aux hackers, qui peuvent alors :

• Extraire des données sensibles : mots de passe, identifiants, fichiers confidentiels.

• Scanner et vider les portefeuilles de cryptomonnaie locaux ou en cache navigateur.

• Installer un mineur de Monero (XMR), cryptomonnaie prisée pour son anonymat et résistance à la traçabilité.

Pourquoi Monero ? Un choix stratégique pour l’anonymat

Le choix de Monero n’est pas anodin. Contrairement à Bitcoin ou Ethereum, Monero permet de :

• Cacher les adresses des expéditeurs et des destinataires.

• Masquer les montants transférés.

• Utiliser des signatures en anneau pour rendre les transactions intraçables.

Autrement dit : impossible de suivre la piste de l’argent volé. Pour un groupe comme Rare Werewolf, cela offre l’impunité financière.

Une stratégie de minage nocturne pour éviter la détection

L’originalité de cette campagne réside aussi dans l’optimisation des horaires d’exploitation. Les machines compromises sont programmées pour :

• S’allumer automatiquement à 1h du matin.

• S’éteindre à 5h du matin.

Pendant cette période, l’activité de minage bat son plein. Ce choix temporel :

• Évite toute gêne perceptible pour l’utilisateur légitime.

• Réduit les risques de détection par les logiciels de surveillance.

• Optimise le retour sur investissement des hackers en restant sous le radar.

Des cibles industrielles et académiques clairement définies

L’objectif n’est pas la masse, mais la qualité des cibles. Les chercheurs de Kaspersky ont identifié que Rare Werewolf s’en prend prioritairement à :

• Des entreprises industrielles stratégiques.

• Des écoles d’ingénierie et centres de recherche technique.

Pourquoi ces secteurs ?

• Ils utilisent des matériels performants, parfaits pour le minage.

• Ils détiennent souvent des informations sensibles (brevets, projets technologiques, accès à des systèmes industriels).

• Leur personnel est moins formé à la cybersécurité que dans les grandes entreprises IT.

Infrastructure et domaines de phishing utilisés

L’enquête a permis de découvrir des domaines web liés à l’opération, utilisés pour héberger les pages de phishing :

• users-mail[.]ru

• deauthorization[.]online

Ces sites contiennent des scripts PHP imitant parfaitement l’interface de connexion du fournisseur de messagerie russe Mail.ru, très répandu dans le pays. L’objectif est de collecter les identifiants de messagerie des victimes pour ensuite infiltrer davantage leur organisation.

Une menace toujours active et évolutive

Selon Kaspersky, cette campagne n’a pas cessé. Des activités malveillantes similaires ont été détectées jusqu’en mai 2025. Le groupe reste très actif, et sa capacité à évoluer en fonction de ses cibles inquiète les chercheurs.

L’aspect le plus préoccupant : leur aptitude à fusionner vol de données et minage dans une seule opération, tout en restant furtifs et spécialisés.