Cette technique innovante exploite la légitimité des modèles RTF et subvertit les propriétés du document en texte brut pour ensuite récupérer une ressource URL au lieu d’une ressource fichier. Cela permet aux acteurs de la menace de remplacer une destination de fichier légitime par une URL à partir de laquelle une charge utile distante peut être récupérée.

Les échantillons de fichiers d’injection de modèles RTF analysés par les chercheurs Proofpoint présentent actuellement un taux de détection plus faible par les antivirus publics que la technique classique d’injection de modèles basés sur Office. Proofpoint a identifié des campagnes de phishing distinctes qui utilisent cette technique et qui ont été attribuées à un ensemble diversifié d’acteurs malveillants APT. Alors que cette technique semble être appréciée des acteurs APT dans plusieurs pays et que son utilisation continue d’augmenter et de se banaliser, Proofpoint émet l’hypothèse qu’elle pourrait bientôt être adoptée par les cybercriminels également.

Si historiquement l’utilisation d’objets RTF malveillants intégrés a été bien documentée, comme méthode de livraison de fichiers malveillants, cette nouvelle technique est beaucoup plus simple et efficace pour la livraison de charges utiles à distance. C’est d’ailleurs pour cette raison que de nombreux acteurs malveillants APT ont pu l’exploiter au cours des deuxième et troisième trimestres de l’année 2021.