Une simple clé USB suffit. Le groupe de hackers nord-coréen APT37, aussi connu sous le nom de ScarCruft, a développé un arsenal de cinq logiciels malveillants capables d’infiltrer des ordinateurs totalement déconnectés d’internet. La campagne, baptisée « Ruby Jumper » par les chercheurs de Zscaler ThreatLabz, transforme n’importe quel support USB en relais d’espionnage bidirectionnel, selon un rapport publié fin février 2026.

Les systèmes visés sont dits « air-gapped » : physiquement isolés du réseau, sans Wi-Fi, sans Bluetooth, sans câble Ethernet. On les trouve dans les centrales nucléaires, les états-majors militaires et les laboratoires de recherche sensibles. Le seul point d’entrée possible reste le transfert de fichiers par support amovible. C’est précisément cette faille qu’exploite APT37.

Un interpréteur Ruby déguisé en utilitaire USB

L’attaque commence par un fichier LNK piégé, un raccourci Windows classique, rapporte BleepingComputer. Quand la victime l’ouvre, un script PowerShell extrait plusieurs charges utiles cachées dans le fichier, dont un document leurre : un article sur le conflit israélo-palestinien traduit d’un journal nord-coréen en arabe.

En coulisses, le premier malware, RESTLEAF, prend contact avec les serveurs de commande via Zoho WorkDrive, un service de stockage cloud légitime. C’est la première fois que ce groupe utilise cette plateforme pour communiquer avec ses outils, selon Zscaler.

RESTLEAF télécharge ensuite SNAKEDROPPER, un chargeur écrit en Ruby. Pour passer inaperçu, il installe l’intégralité de l’environnement Ruby 3.3.0 sur la machine infectée et renomme l’interpréteur principal en « usbspeed.exe », un faux utilitaire de test de vitesse USB. Une tâche planifiée Windows lance ce programme toutes les cinq minutes.

La clé USB devient un canal d’espionnage

SNAKEDROPPER dépose ensuite deux composants essentiels. Le premier, THUMBSBD, surveille la connexion de supports amovibles et crée des dossiers cachés sur chaque clé USB détectée. Ces dossiers servent de boîte aux lettres : les hackers y déposent des commandes, la machine infectée y laisse les données collectées.

« En exploitant les supports amovibles comme couche de transport intermédiaire, le malware fait le pont entre des segments réseau normalement isolés les uns des autres », expliquent les chercheurs de Zscaler dans leur rapport technique.

À lire aussi

PromptSpy, le premier malware Android qui utilise l’IA pour s’accrocher à votre téléphone
Massiv, le malware Android qui se planque dans vos applis IPTV piratées

Le second composant, VIRUSTASK, se charge de propager l’infection. Dès qu’une clé USB avec au moins 2 Go d’espace libre est insérée, il cache les fichiers légitimes et les remplace par des raccourcis piégés qui exécutent l’interpréteur Ruby malveillant à l’ouverture, selon The Hacker News.

Un mouchard complet caché dans un faux fichier Android

La dernière pièce du puzzle s’appelle FOOTWINE. Déguisé en fichier APK Android, ce logiciel espion fonctionne en réalité sous Windows. Ses capacités sont étendues : enregistrement des frappes clavier, captures d’écran, enregistrement audio et vidéo, manipulation de fichiers, accès au registre Windows et exécution de commandes à distance.

FOOTWINE communique avec un serveur de commande via un protocole binaire sur TCP. Zscaler détaille pas moins de dix types de commandes différentes, allant du shell interactif à la configuration de proxy réseau.

La campagne Ruby Jumper inclut aussi BLUELIGHT, une porte dérobée connue depuis 2021 et attribuée à ScarCruft. Ce malware utilise des services cloud grand public comme Google Drive, Microsoft OneDrive et pCloud pour communiquer avec ses opérateurs, rapporte The Hacker News.

L’isolation physique ne suffit plus

Les réseaux air-gapped ont longtemps été considérés comme la protection ultime contre les cyberattaques. Cette réputation s’érode d’année en année. En 2023, le malware GoldenJackal avait déjà ciblé des ambassades européennes avec une technique similaire, selon les travaux d’ESET. Les agences de renseignement américaines avaient aussi révélé que le célèbre Stuxnet, qui avait saboté le programme nucléaire iranien en 2010, exploitait des clés USB pour franchir l’isolement physique des centrifugeuses.

APT37 opère depuis au moins 2012 et cible principalement des organisations sud-coréennes, des journalistes, des dissidents et des organismes de recherche. Zscaler attribue la campagne Ruby Jumper au groupe avec un haut niveau de confiance, en s’appuyant sur l’utilisation du malware BLUELIGHT, la technique d’infection par fichiers LNK et l’infrastructure de commande caractéristique de cet acteur.

Des clés USB toujours dans l’angle mort

Les recommandations des chercheurs de Zscaler ciblent les organisations qui gèrent des systèmes isolés : contrôler strictement les supports amovibles autorisés, analyser systématiquement les fichiers LNK et surveiller les exécutions Ruby ou PowerShell inhabituelles sur les postes sensibles.

Le rapport de Zscaler a été rendu public le 27 février 2026. L’étendue exacte des victimes reste inconnue, mais le document leurre en arabe suggère un ciblage de personnes intéressées par les récits médiatiques nord-coréens sur le Moyen-Orient. La prochaine mise à jour de Zscaler devrait apporter des indicateurs de compromission supplémentaires pour aider les équipes de sécurité à détecter cette menace.