Des chercheurs de Symantec ont identifié une évolution de Duqu, cet élément responsable du chargement du corps crypté du malware. Selon Vikram Thakur, en charge de la riposte en matière de sécurité chez Symantec « cette amorce, qui porte l'identifiant mcd9x86.sys a été compilé le 23 février. » Découvert pour la première fois en octobre 2011, Duqu est liée au ver Stuxnet utilisé dans le sabotage industriel des systèmes SCADA notamment, et avec lequel il partage des portions de code. Cependant, contrairement à Stuxnet, créé pour mener des attaques offensives destructrices, l'objectif principal de Duqu est de voler des informations sensibles dans les systèmes informatiques d'administrations gouvernementales ou d'entreprises très ciblées partout dans le monde. « La découverte de ce nouveau malaware indique clairement que les auteurs de Duqu poursuivent leur mission, » a déclaré Vikram Thakur. « Le gros travail de sensibilisation auprès du public au sujet de Duqu n'a pas suffi à dissuader les auteurs de Duqu qui continuent à s'en servir pour atteindre leur objectif. »
Costin Raiu, directeur de l'équipe de chercheurs et d'analystes de Kaspersky Lab, n'est pas étonné. « Je pense que lorsque vous investissez autant d'argent pour développer des malwares aussi malléables que Duqu et Stuxnet, il est tout simplement impossible de les mettre à la poubelle et de tout abandonner », a-t-il déclaré. « Nous avons toujours dit que les futures variantes de Duqu et de Stuxnet seraient probablement basées sur la même plate-forme, mais avec à chaque fois suffisamment de modifications pour les rendre indétectables par les logiciels de sécurité. Et c'est en effet ce qui se passe ici. »
Seul un morceau du nouveau Duqu a été découvert
Le code source du nouveau malware a été remanié et compilé selon des modalités différentes de celles utilisées dans les versions précédentes. Il contient également un sous-programme de routine différent pour décrypter le bloc de configuration et charger le corps du malware. « La même technique avait été utilisée en octobre 2011. Après la diffusion publique du profil de Duqu, celui-ci est ensuite réapparu avec des pilotes recompilés et présentant de nouvelles sous-routines de chiffrement, » a déclaré Costin Raiu. « Cette variante de Duqu utilise probablement un nouveau serveur de commande et de contrôle (C&C), dans la mesure où tous les serveurs C&C déjà connus ont été fermés le 20 octobre 2011, » a estimé le responsable de Kaspersky Lab.
Toutefois, ni Symantec, ni les chercheurs de Kaspersky ne connaissent l'adresse exacte du nouveau serveur, parce qu'ils n'ont pas le composant qui contient cette information. « Nous n'avons pas le corps entier de Duqu, mais seulement le chargeur sous la forme du driver. Le chargeur ne contacte pas le serveur de contrôle et de commande directement. Il charge uniquement le corps principal qui est stocké sous forme cryptée, » a expliqué Costin Raiu.
« Même si le nouveau serveur était connu, il serait sans doute configuré de manière à tenir quiconque à distance des attaquants réels, » a ajouté Vikram Thakur. « Les auteurs de Duqu se sont assurés que leur malware protègera leur anonymat, » a-t-il dit. « Pour l'instant, on ne sait pas non plus quelles organisations sont visées par la nouvelle version, mais ce sont probablement les mêmes que dans les variantes précédentes, » a déclaré le responsable de Kaspersky Lab.