ResolverRAT, ce nouveau virus qui cible la pharmacie et le secteur de la santé

L’information a été révélée le 15 avril 2025 par le site 01net, s’appuyant sur un rapport d’alerte publié par Morphisec Threat Labs, laboratoire israélien spécialisé en cybersécurité. Un malware d’un nouveau type, baptisé ResolverRAT, est actuellement utilisé dans une campagne mondiale de cyberattaques visant prioritairement les secteurs de la santé et de la pharmacie.

Ce cheval de Troie à accès à distance (Remote Access Trojan, ou RAT) permet à un attaquant de prendre le contrôle total d’un ordinateur infecté. La méthode de diffusion repose sur des courriels de phishing soigneusement conçus pour piéger les collaborateurs des structures ciblées. Les messages exploitent des motifs juridiques anxiogènes — fausses plaintes, litiges, infractions au droit d’auteur — afin de désarmer la vigilance des destinataires. « Les thèmes alarmants sont spécifiquement conçus pour provoquer une réaction émotionnelle immédiate », précisent les chercheurs.

Une tactique d’infection insidieuse

Le fichier joint à ces courriels usurpe l’apparence d’un exécutable lié à un logiciel HP (Hewlett-Packard), renforçant sa crédibilité. Une fois ouvert, il implante ResolverRAT dans la mémoire volatile de l’ordinateur. L’infection est immédiate.

Le virus met alors en œuvre une série de techniques d’évasion avancées pour échapper à la détection : il réplique ses fichiers dans plusieurs répertoires système de Windows, comme « Program Files », « LocalAppData » ou encore le dossier de démarrage, afin de s’exécuter à chaque redémarrage.

Mais surtout, ResolverRAT est conçu pour exfiltrer les données à bas bruit. Il fragmente les fichiers de plus de 1 Mo en segments de 16 Ko, ce qui lui permet de se fondre dans le trafic Internet habituel et d’éviter les outils de surveillance réseau.

Données médicales en ligne de mire

Le rapport de Morphisec ne détaille pas l’identité des structures infectées, mais confirme que les courriels piégés sont envoyés en plusieurs langues (italien, hindi, tchèque, turc, portugais), traduisant une volonté manifeste de cibler un maximum de pays et de maximiser les taux d’infection. Une « opération à portée mondiale », selon les termes du laboratoire.

Le secteur de la santé est une cible de choix pour les cybercriminels. L’accès à des données médicales sensibles leur permet d’exiger des rançons élevées ou de revendre les informations sur le dark web. Ce constat est régulièrement relayé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui classe les établissements de santé parmi les cibles les plus vulnérables en France.

Pharmacies : des cibles stratégiques

Les pharmacies d’officine sont directement concernées. Points d’entrée du système de soins, elles concentrent des volumes importants de données personnelles, médicales et administratives, transmises quotidiennement via des logiciels métier ou des systèmes de télétransmission. Cette interconnexion permanente les rend particulièrement exposées.

À ce jour, aucune alerte spécifique n’a été émise par l’Agence nationale de sécurité du médicament (ANSM), la Fédération des syndicats pharmaceutiques de France (FSPF) ou l’Union des syndicats de pharmaciens d’officine (USPO). Mais la prudence est de mise. Les pharmaciens doivent néanmoins redoubler d’attention face aux mails suspects, même lorsqu’ils semblent émaner de fournisseurs ou de partenaires institutionnels.

Quelle réponse à la menace ?

Morphisec recommande une surveillance proactive des processus système, l’analyse fine des flux sortants, et le blocage des exécutables inconnus, même s’ils sont liés à des éditeurs réputés. Ces mesures dépassent souvent les capacités des antivirus classiques.

Pour les officines, il est nécessaire de renforcer les protocoles de sécurité informatique :
– formation continue du personnel ;
– limitation des droits d’administration ;
– mise à jour rigoureuse des logiciels ;
– audits réguliers des systèmes.

Un précédent lourd de conséquences

Ce type d’attaque rappelle les précédents frappant des hôpitaux français. Les conséquences avaient été majeures : arrêt de certains services, transfert de patients, divulgation de données.

Alors que la numérisation du système de santé s’intensifie, ResolverRAT illustre une nouvelle fois la nécessité de renforcer la cybersécurité du secteur de la pharmacie et de la Santé.