Des fichiers Blender malveillants diffusent le malware StealC pour voler des données

Génération NT / Actualités / Des fichiers Blender malveillants diffusent le malware StealC pour voler des données

Publié le 27 novembre 2025 à 20:40 par Jérôme G.

Une campagne de cyberattaque, liée à des hackers russophones et active depuis au moins six mois, utilise des fichiers du logiciel de création 3D Blender pour distribuer le malware et infostealer StealC V2.

La société de cybersécurité Morphisec a mis en lumière une campagne d'attaque qui vise un public comme les développeurs de jeux et les studios d'effets visuels. Elle exploite une fonctionnalité de Blender pour exécuter du code malveillant dès l'ouverture d'un fichier.

L'infection avec un malware de la famille StealC évite les machines dont la langue est configurée en russe, ukrainien, biélorusse ou kazakh, un mode opératoire souvent observé dans les cyberopérations russes.

Une fonctionnalité de Blender détournée

Le principal vecteur d'attaque repose sur la capacité du logiciel Blender à intégrer et exécuter des scripts Python directement depuis les fichiers .blend pour des projets.

Cette fonctionnalité est très utile pour automatiser des tâches ou créer des interfaces personnalisées. Cependant, elle devient une faille de sécurité majeure si l'option Auto Run Python Scripts est activée.

Par commodité, de nombreux utilisateurs l'activent, ouvrant ainsi la porte aux attaques. Les pirates n'ont plus qu'à intégrer un script malveillant dans un modèle 3D en apparence anodin et partagé sur une place de marché.

Quelle est la chaîne d'attaque et que vole le malware ?

Une fois le fichier .blend ouvert, le script Python s'exécute automatiquement et contacte un serveur pour télécharger un script PowerShell. Ce dernier récupère deux archives ZIP (ZalypaGyliveraV1 et BLENDERX) qui déploient la charge utile.

L'infection est conçue pour être persistante, en ajoutant des raccourcis dans le dossier de démarrage de Windows. Le malware principal, StealC V2, est alors déployé, parfois accompagné d'un second infostealer en Python pour assurer une redondance.

La dernière version de StealC est capable de dérober les données de plus de 23 navigateurs, une centaine d'extensions, une quinzaine d'applications de portefeuilles crypto, ainsi que des informations issues de Telegram, Discord, Thunderbird, ou encore des clients VPN comme ProtonVPN et OpenVPN.

Comment se protéger contre cette menace ?

La protection la plus simple et la plus efficace consiste à désactiver l'exécution automatique des scripts dans Blender. Les experts en cybersécurité de Morphisec soulignent également l'importance de traiter les ressources 3D avec la même méfiance que des fichiers exécutables.

Morphisec alerte en outre sur le fait que la variante de StealC analysée n'était détectée par aucun moteur de sécurité sur la plateforme VirusTotal, preuve de sa grande furtivité.

N.B. : Source images : Morphisec.

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire