Ce malware efface vos données, vous espionne et diffuse votre écran en direct, et Microsoft l’a découvert trop tard

Espionnage, prise de contrôle à distance, destruction totale des données : le malware GigaWiper combine le pire de plusieurs cybermenaces en un seul outil. Microsoft vient de le découvrir… mais est-il déjà trop tard pour s’en protéger ?

malware windows 11
© Unsplash

Les analystes de Microsoft Threat Intelligence ont identifié un nouveau malware aux fonctionnalités étendues, baptisé GigaWiper. Ce logiciel malveillant se présente comme une porte dérobée (backdoor) permettant à des attaquants de prendre le contrôle d’un système à distance, tout en intégrant des mécanismes de destruction de données et d’espionnage avancé.

Un outil polyvalent aux origines multiples

D’après les observations de Microsoft, GigaWiper a été repéré pour la première fois en octobre 2025. Il est développé en Go et combine des éléments de plusieurs familles de malware déjà connues :

  • Crucio, un ransomware factice qui chiffre les fichiers sans conserver la clé de déchiffrement, rendant toute récupération impossible.
  • FlockWiper, un malware conçu pour effacer les disques durs en utilisant une méthode de suppression multi-passes.
  • CutBrooch (mentionné dans les signatures de détection de Microsoft), correspondant probablement au module de suppression autonome intégré à GigaWiper.
acheter une licence windows 11

Le logiciel malveillant peut ainsi supprimer des données de trois manières distinctes :

  1. Un effaceur autonome qui écrase les données au niveau physique du disque, sans tenir compte des métadonnées des fichiers ou des partitions.
  2. Le module Crucio, qui simule une attaque par ransomware mais ne permet pas de restaurer les fichiers.
  3. Une réimplémentation de FlockWiper, capable d’effacer le disque système sous Windows via un processus de suppression sécurisé.

Une fois les fichiers chiffrés, GigaWiper affiche une image générée par IA en fond d’écran sur la machine infectée.

Espionnage et contrôle à distance

Au-delà de ses capacités destructrices, GigaWiper fonctionne comme une porte dérobée complète, recevant des instructions depuis un serveur de commande et contrôle (C2). Les opérateurs du malware peuvent exécuter 20 commandes différentes, parmi lesquelles :

  • La capture d’écran et l’enregistrement vidéo de l’activité de l’utilisateur.
  • Le streaming en direct de l’écran de la victime, avec la possibilité de prendre le contrôle à distance du clavier et de la souris.
  • La collecte d’informations sur le système (logiciels installés, processus en cours, journaux d’événements Windows, registre).
  • La modification des règles du pare-feu Windows pour masquer son trafic réseau via des exceptions personnalisées.

Le streaming s’appuie sur un protocole TCP, tandis que les communications avec le serveur C2 restent discrètes grâce à des techniques d’évasion.

Mesures de protection recommandées

Microsoft propose plusieurs pistes pour limiter les risques liés à une infection par GigaWiper :

  • Activer la protection contre les manipulations (tamper protection) dans Microsoft Defender.
  • Utiliser la détection cloud de Defender pour identifier les menaces émergentes avant que les signatures locales ne soient mises à jour.

Une menace ciblée et évolutive

L’assemblage de plusieurs familles de malware au sein d’un même outil suggère une volonté de polyvalence, permettant aux attaquants de choisir entre l’espionnage et la destruction selon leurs objectifs. L’origine des opérateurs derrière GigaWiper n’a pas été précisée par Microsoft, mais le code partage des similitudes avec Crucio et FlockWiper, indiquant une possible réutilisation de composants existants.

La découverte de ce malware rappelle les risques posés par les outils hybrides, capables à la fois de voler des données et de rendre un système inutilisable sur commande. Les organisations sont invitées à renforcer leurs défenses, notamment en surveillant les activités suspectes sur les postes de travail et les serveurs.