Check Point Research dévoile PureCoder, un développeur de malwares qui professionnalise la cybercriminalité mondiale. Ses outils alimentent des attaques massives et sophistiquées.
Check Point Research (CPR) lève le voile sur PureCoder. Il s’agit d’un développeur clandestin dont les outils alimentent certaines des campagnes de cybercriminalité les plus actives de 2025. Derrière des malwares, ce fournisseur invisible orchestre une véritable économie souterraine dans laquelle le code s’échange comme un produit logiciel légitime. Eli Smadja, Directeur de la Recherche chez CPR nous partage son analyse sur le sujet.
Une attribution inédite à un développeur invisible
Pour la première fois, CPR a directement relié les dépôts GitHub d’un développeur à des campagnes malveillantes d’ampleur. L’attribution de PureCoder est localisé sur le fuseau horaire UTC+0300. Cela met en évidence l’usage détourné de plateformes légitimes pour construire et distribuer des outils sophistiqués. PureHVNC RAT, PureRAT, PureCrypter ou encore PureLogs forment une suite complète de logiciels. Ils sont capables de voler des identifiants, maintenir un contrôle furtif sur les machines et contourner les antivirus.
Comme le souligne le rapport, ces produits sont disponibles depuis 2021 sur des forums clandestins. Ils sont vendus et maintenus avec des mises à jour régulières. Ce mode opératoire illustre comment les cybercriminels adoptent les codes des éditeurs traditionnels pour gagner en efficacité et en crédibilité auprès de leurs pairs.
Des intrusions multiformes et coordonnées
L’analyse de CPR s’appuie notamment sur le suivi d’une intrusion de huit jours, amorcée par des offres d’emploi frauduleuses via la campagne ClickFix. De là, les assaillants ont enchaîné escalade de privilèges, vol d’identifiants et déploiement du framework C2 Sliver. Cela démontre une sophistication comparable à celle d’équipes de red team professionnelles.
Cette capacité à combiner outils de PureCoder et tactiques variées (chargeurs Rust, implants Sliver, malspam) montre que la cybercriminalité ne repose plus sur des actions isolées. Elle se base désormais sur des chaînes logistiques bien rodées. Les entreprises, qu’elles opèrent dans la finance, la santé ou l’éducation, se trouvent exposées à un mode opératoire flexible. Ce dernier est conçu pour s’adapter rapidement aux défenses et maximiser l’impact.
Une menace mondiale qui prend de l’ampleur
Les données de CPR confirment l’extension géographique du phénomène. États-Unis, Europe, Asie-Pacifique, aucun continent n’échappe aux offensives construites sur l’écosystème Pure. L’année 2025 marque une accélération, avec une distribution massive via campagnes de phishing et forums clandestins. Ce modèle, chaque malware est vendu entre 50 dollars et plusieurs centaines. Cela s’apparente à une économie parallèle avec ses tarifs, son support client et ses mises à jour logicielles.
« Derrière chaque campagne cyber mondiale se trouve non seulement un opérateur, mais souvent un développeur comme PureCoder qui fournit les outils », insiste Eli Smadja, Directeur de la Recherche chez CPR. Il y voit la preuve d’une industrialisation de la cybercriminalité, la prévention et le renseignement partagé deviennent ainsi indispensables. Puisque l’IA facilite déjà l’automatisation des attaques, PureCoder montre la bascule vers une professionnalisation assumée du malware-as-a-service.
Article basé sur un communiqué de presse reçu par la rédaction.
