CyberEYE neutralise Windows Defender et ouvre la porte aux pirates

Un nouveau malware baptisé CyberEYE fait trembler le monde de la cybersécurité. Ce cheval de Troie sophistiqué, capable de désactiver entièrement Microsoft Defender, représente une menace sérieuse pour les utilisateurs Windows. Son arsenal technique et sa distribution massive via Telegram illustrent parfaitement l'évolution rapide des cybermenaces en 2025.

L'émergence silencieuse d'une menace redoutable

Découvert par les chercheurs de Cyfirma en mai 2025, CyberEYE appartient à la famille des trojans d'accès distant (RAT) développés en .NET. Sa particularité? Une distribution massive orchestrée via les canaux Telegram et les dépôts GitHub publics. Deux cybercriminels opérant sous les pseudonymes @cisamul23 et @CodQu commercialisent actuellement ce malware sous forme d'abonnement.

Telegram s'impose désormais comme le canal privilégié pour les activités cybercriminelles. La plateforme aux 900 millions d'utilisateurs mensuels a enregistré une hausse de 53% des publications liées à la cybercriminalité entre 2023 et 2024. Les pirates exploitent la perception de sécurité et l'anonymat qu'offre cette messagerie pour diffuser leurs outils malveillants.

Comment CyberEYE neutralise vos défenses

Le malware emploie une stratégie à deux volets particulièrement efficace pour contourner les protections de Windows Defender. D'abord, il modifie directement le registre Windows en ciblant des clés critiques. La valeur TamperProtection est définie à "0" sous SOFTWARE\Microsoft\Windows Defender\Features, désactivant ainsi la protection contre les modifications non autorisées.

Pour parachever cette neutralisation, CyberEYE exécute des commandes PowerShell qui éliminent les protections résiduelles. Cette approche combinée garantit une désactivation complète des défenses, même celles conçues pour résister aux modifications du registre. L'exploitation de PowerShell pour contourner les antivirus devient d'ailleurs une technique courante, également utilisée par d'autres malwares comme Remcos RAT.

Une fois la forteresse Windows Defender tombée, le malware déploie ses modules de vol de données. Il cible les informations d'identification stockées dans les navigateurs, les mots de passe Wi-Fi, les clés privées de portefeuilles crypto et les données de session d'applications comme Telegram et Discord. L'exfiltration s'effectue ensuite via l'API bot de Telegram, d'où son surnom de TelegramRAT.

Pour assurer sa persistance sur les systèmes infectés, CyberEYE utilise plusieurs techniques, notamment des modifications supplémentaires du registre Windows et l'installation de tâches planifiées. Ces mécanismes permettent au malware de survivre aux redémarrages et de continuer à opérer discrètement.

Un symptôme de l'évolution des cybermenaces

L'apparition de CyberEYE s'inscrit dans une tendance plus large d'automatisation des cyberattaques. Les ransomwares autonomes et les attaques générées par IA se multiplient, créant des menaces d'une précision redoutable. En France, 76% des entreprises prévoient d'investir davantage en cybersécurité en 2025, avec 57% redoutant particulièrement les logiciels malveillants renforcés par l'IA.

Ce malware révèle également les limites des solutions de sécurité intégrées de Windows. Sa capacité à modifier le registre système et à exécuter des commandes PowerShell sans déclencher d'alertes souligne la nécessité d'approches de sécurité multicouches. Les attaques BYOVD (Bring Your Own Vulnerable Driver) ont d'ailleurs augmenté de 23% en 2024, illustrant l'exploitation croissante des composants légitimes pour contourner les sécurités.

Se protéger efficacement contre CyberEYE

Face à cette menace et ses semblables, les organisations comme les particuliers doivent adopter une approche de sécurité stratifiée. Les mises à jour régulières de tous les composants système, pilotes inclus, restent la première ligne de défense. Pour les entreprises, le déploiement de solutions XDR (Extended Detection and Response) et SIEM permet une surveillance et une analyse des menaces en temps réel.

La vigilance des utilisateurs demeure fondamentale, 39% des professionnels citent d'ailleurs les comportements à risque des employés comme préoccupation majeure. Dans un monde où les attaques par ingénierie sociale persistent et se sophistiquent, une mentalité sceptique face aux messages et pièces jointes constitue parfois la meilleure protection. Et si votre ordinateur commence soudainement à se comporter comme un adolescent rebelle qui désactive toutes les règles parentales, il est peut-être temps de vérifier qu'il n'abrite pas CyberEYE.

La course sans fin

CyberEYE représente une nouvelle étape dans l'évolution des malwares, combinant facilité d'utilisation et techniques d'évasion avancées. Cette menace persistante annonce probablement l'émergence de nouvelles variantes encore plus sophistiquées. Face à cette réalité, la cybersécurité ne peut plus se contenter de répondre aux menaces mais doit s'inscrire dans une stratégie proactive et résiliente.

L'analyse complète de CyberEYE est disponible dans le rapport officiel de Cyfirma : https://www.cyfirma.com/research/understanding-cybereye-rat-builder-capabilities-and-implications/