Des chercheurs en cybersécurité de la société ESET ont révélé le 5 octobre que des cyberattaquants utilisaient depuis 2012 un bootkit UEFI (Unified Extensible Firmware Interface) non documenté jusqu'à présent, pour créer des backdoors sur des ordinateurs Windows, en modifiant un binaire légal du gestionnaire de démarrage Windows afin d'obtenir une persistance.

L'entreprise de sécurité a donné à ce nouveau virus le nom de code "ESPecter" en raison de sa capacité à survivre sur la partition système EFI (ESP), en plus de contourner la procédure d'application de la signature du pilote de Microsoft Windows pour installer son pilote non enregistré qui peut être utilisé pour permettre des activités d'espionnage, notamment le vol de documents, l'enregistrement des touches et la surveillance des écrans par des captures d'écran régulières. Le périmètre d'intrusion du malware est encore inconnu.

Les origines d'ESPecter remontent au moins à 2012, où il a commencé comme un bootkit pour les ordinateurs dotés d'anciens BIOS. Les créateurs du malware ont constamment ajouté la compatibilité pour les nouvelles versions de Windows OS tout en modifiant à peine les composants du malware. Le changement le plus significatif a eu lieu en 2020, lorsque les créateurs d'ESPecter auraient choisi de transférer leur virus des ordinateurs à BIOS obsolètes vers des systèmes UEFI plus récents.

Sous l'apparence d'un gestionnaire de démarrage Windows patché, le malware UEFI utilise le même type d'infiltration pour persister sur l'ESP.

Cependant, sur les systèmes qui activent le mode de démarrage Legacy BIOS, ESPecter gagne en persistance en modifiant le code du Master Boot Record (MBR) dans le premier secteur physique du disque dur pour interférer avec le chargement du gestionnaire de démarrage et charger le pilote du noyau malveillant, qui est conçu pour charger des charges utiles supplémentaires en mode utilisateur et configurer le keylogger, avant d'effacer ses propres traces de la machine.

Indépendamment de l'utilisation de la variante UEFI ou MBR, le déploiement du pilote entraîne l'injection de composants en mode utilisateur dans les processus système spécifiques afin d'établir des connexions avec un serveur distant, permettant ainsi à un attaquant de prendre le contrôle du système infecté.

Selon ESET, il est possible que le bootkit soit l’œuvre d’un acteur inconnu parlant chinois suite à des traces de cette langue dans les messages de débogage dans la charge utile.