Face à la détection du malware Rhadamanthys, l’ANSSI de Côte d’Ivoire tire la sonnette d’alarme. Ce logiciel voleur de données sensibles s’attaque aux systèmes Windows pour exfiltrer les identifiants et les actifs financiers. Une vigilance absolue est requise pour contrer cette menace jugée critique.
(CIO Mag) – Le cyber espace ivoirien fait face à une menace sérieuse avec l’émergence et la propagation active du malware Rhadamanthys. Selon nos informations, l’Agence nationale de la sécurité des systèmes d’information (ANSSI-CI), à travers son centre de veille CI-CERT, a classé cette alerte au niveau de sévérité critique. Ce logiciel malveillant, initialement répertorié sous la référence CICERT-NTS-2025-049 en décembre 2025, cible spécifiquement les environnements Windows et a récemment été détecté au sein du système d’information de plusieurs organisations et spécifiquement de quelques établissements financiers.
Rhadamanthys
La nature même de Rhadamanthys en fait un outil de vol redoutable. En tant qu’infostealer, sa mission principale est de dérober des données sensibles à l’insu des utilisateurs. Les risques associés à une telle infection sont multiples et dévastateurs. Pour les individus comme pour les organisations, cela se traduit par le vol de comptes personnels et professionnels, la compromission de comptes bancaires et de crypto-actifs, ainsi que l’usurpation d’identité.
Au-delà du vol d’informations, un poste infecté peut être utilisé comme relais pour lancer d’autres cyberattaques, mettant ainsi en péril la confidentialité globale des données de l’entité touchée. Dans le secteur financier, l’exfiltration massive de données peut engendrer des fraudes bancaires de grande ampleur.
Mode opératoire
Rhadamanthys repose sur la ruse et la discrétion. Le malware s’introduit généralement dans le système lorsqu’un utilisateur télécharge un logiciel piraté, une fausse mise à jour, ou l’ouverture d’une pièce jointe malveillante reçue par email. Les campagnes de malvertising*, utilisant des publicités frauduleuses sur les moteurs de recherche, ainsi que le phishing sophistiqué, sont ses principaux vecteurs de diffusion.
Une fois infiltré, le logiciel s’installe discrètement et commence la collecte systématique des identifiants, des mots de passe, des cookies de sessions actives et des données de navigation. Ces éléments permettent aux cybercriminels de contourner l’authentification à deux facteurs et d’accéder aux portefeuilles crypto ou aux accès VPN. Toutes ces données sont ensuite exfiltrées vers un serveur de commande distant pour être exploitées ou revendues sur le dark web.
Lignes de défense
Face à la menace, l’ANSSI Côte d’Ivoire préconise une série de mesures rigoureuses. Pour les particuliers, il est impératif de ne jamais télécharger des logiciels sur leurs plateformes non officiels, de vérifier scrupuleusement l’expéditeur de chaque courriel, de maintenir les applications et leur système d’exploitation ainsi que leurs antivirus à jour. L’activation de la double authentification sur tous les comptes sensibles est également une barrière essentielle.
Pour les entreprises, la stratégie doit être plus structurelle. La sensibilisation des employés aux risques de phishing demeure la première ligne de défense. Sur le plan technique, le déploiement de solutions de détection et de réponse de type EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response) est fortement recommandé pour surveiller les connexions réseau suspectes. Il est également crucial de limiter les droits des utilisateurs sur les postes de travail et d’appliquer une politique stricte de gestion des accès. Enfin, chaque organisation doit disposer d’un plan de réponse aux incidents informatique pour réagir promptement en cas de compromission avérée. Conformément au décret n° 2020-128 du 29 janvier 2020 en son article 6, tout incident de sécurité informatique doit être immédiatement signalé aux autorités compétentes via l’adresse de contact du CI-CERT (cert.incidents@anssi.gouv.ci.)
*Campagne de malvertising est une cyberattaque ou campagne cyber consistant à injecter du code malveillant dans des publicités en ligne légitimes pour infecter les utilisateurs ou voler des données.