Un malware analyst est un chercheur cybersécurité spécialisé dans l'analyse de logiciels malveillants : il décompile, exécute en environnement isolé et reverse engineere les binaires pour en extraire les IOCs (Indicators of Compromise), cartographier le comportement sur MITRE ATT&CK, identifier la famille et l'acteur à l'origine, et produire des signatures YARA exploitables par les SOC et plateformes CTI. La discipline s'articule en trois approches complémentaires : analyse statique (Ghidra, IDA Pro, Binary Ninja, radare2), analyse dynamique via sandbox isolée (Any.Run, Joe Sandbox, Cuckoo, FLARE-VM, REMnux), analyse mémoire (Volatility 3). Les familles malware emblématiques 2020-2025 — Cobalt Strike (détourné), Emotet, TrickBot, Qakbot, IcedID, LockBit, ALPHV/BlackCat, Pegasus NSO, xz-utils backdoor (CVE-2024-3094, mars 2024), Rust/Go-based loaders modernes — définissent le niveau d'exigence technique. Les salaires en France 2026 : 48-72 k€ junior, 90-120 k€ senior, 115-155 k€ Lead. La référence certification est GREM (GIAC Reverse Engineering Malware) mais le FLARE-On Challenge annuel (Mandiant) et un portfolio de write-ups publics pèsent au moins autant. Cet article détaille la définition, les 3 types d'analyse, les techniques avancées (unpacking, anti-analysis bypass), les malwares emblématiques, la stack technique, YARA et son usage canonique, le profil type et les certifications.
1. Définition et périmètre du malware analyst
Définition opérationnelle : un malware analyst décortique un binaire malveillant pour comprendre ce qu'il fait, comment il le fait et qui est derrière. Les livrables attendus sont standardisés : rapport d'analyse structuré avec IOCs (hashes, IPs, domaines, clés de chiffrement, mutex), mapping MITRE ATT&CK des techniques identifiées, règles YARA pour détection future, attribution probable à une famille ou un acteur, recommandations de remédiation et détection.
Distinction avec les métiers adjacents
| Métier | Objet d'analyse | Livrable principal |
|---|---|---|
| Malware analyst | Binaires malveillants (PE, ELF, Mach-O, APK, documents, scripts) | Rapport d'analyse plus règles YARA plus mapping ATT&CK |
| Reverse engineer | Tout binaire compilé (malware, logiciel légitime, firmware) | Compréhension structure, spécification format |
| Forensic analyst | Artefacts système post-incident | Timeline incident, rapport d'investigation |
| Analyste CTI | Intelligence menaces multi-sources | Rapports CTI, bundles STIX |
| Threat hunter | Compromissions latentes dans l'environnement | Hypothèses validées, nouvelles détections |
| Exploit developer | Vulnérabilités logicielles | PoC plus weaponisation offensive |
2. Les trois types d'analyse
Analyse statique
Examen du binaire sans l'exécuter. Techniques : inspection des headers PE/ELF/Mach-O, analyse des imports et exports, extraction des strings (FLOSS pour les strings obfusquées), détection du packer (Detect It Easy, UPX, Themida), désassemblage et décompilation (Ghidra, IDA Pro, Binary Ninja, radare2). Forces : aucune exécution donc pas de risque d'infection, permet de comprendre la logique complète. Limites : obfuscation, chiffrement, techniques anti-analyse peuvent rendre la lecture statique extrêmement coûteuse.
Analyse dynamique
Exécution contrôlée dans une sandbox isolée du réseau et du reste du SI. Plateformes : Any.Run (online, interactive), Joe Sandbox (commercial premium), Cuckoo Sandbox (open-source), Triage (Hatching), Hybrid Analysis (CrowdStrike, gratuit). VMs locales : FLARE-VM (Mandiant, Windows préconfigurée), REMnux (Lenny Zeltser, Linux préconfigurée). Forces : validation directe du comportement, observation des APIs appelées, capture du trafic C2. Limites : anti-sandbox et anti-VM peuvent faire dormir le malware, nécessite contre-mesures (VM ghosting, kernel anti-detection, timing simulé).
Analyse mémoire
Extraction et analyse de la RAM après infection. Outils : Volatility 3, Rekall, MemProcFS. Objectif : capturer les artefacts qui n'existent qu'en mémoire — charges utiles déchiffrées, injections de processus, beacons C2 actifs, keys cryptographiques éphémères. Particulièrement critique pour les fileless malwares (Cobalt Strike, Meterpreter, BRc4, Havoc) qui opèrent majoritairement en mémoire.
En pratique, un analyste alterne dynamiquement les trois : statique pour comprendre la structure, dynamique pour valider et observer, mémoire pour extraire les artefacts chiffrés après détection d'unpacking.
3. Techniques avancées
Unpacking et deobfuscation
Les malwares modernes sont quasi-systématiquement packés (UPX, Themida, VMProtect, custom crypters) et obfusqués (string encryption, control flow flattening, opaque predicates). L'analyste doit identifier le packer (signatures via DIE), unpacker manuellement (x64dbg avec scripts), ou laisser le malware s'auto-unpacker en mémoire puis dumper le payload via Scylla ou Volatility. Les Rust-based loaders 2023-2025 (usage croissant par ALPHV, BlackByte, Akira) ajoutent une couche de difficulté via leur compilation peu lisible.
Bypass des anti-analysis
Les techniques courantes qu'un analyste doit contourner :
- Anti-debug : checks IsDebuggerPresent, NtGlobalFlag, timing checks (rdtsc). Bypass via x64dbg plugins (ScyllaHide, TitanHide) ou patch manuel.
- Anti-VM : détection VMware/VirtualBox/QEMU via registres, artefacts MAC address, CPUID flags, présence VBoxService. Bypass via VM hardening (Paranoid Fish script, antiVM detection disabling).
- Anti-sandbox : sleep long (attente timeout sandbox), mouse check, uptime check, présence de fichiers récents utilisateur. Bypass via sandbox tuning ou time acceleration.
- Environmental keying : malware qui ne s'exécute que si certaines conditions (domaine cible, langue FR, heure spécifique) sont remplies. Reverse engineering requis pour identifier ces conditions.
Extraction de C2 et configuration
Les payloads Cobalt Strike, IcedID, Emotet intègrent leur configuration (serveur C2, sleep, jitter, watermark, clés RSA) en interne, chiffrée. Outils dédiés : CobaltStrikeParser (Sentinel One, récupération de beacon configs), MalwareBazaar SCProper, Pipedream et diverses extractions communautaires pour chaque famille.
4. Malwares emblématiques 2020-2025
| Famille | Origine / Catégorie | Particularité technique | Événement marquant |
|---|---|---|---|
| Cobalt Strike | Commercial détourné | Beacon C2 flexible, malleable profiles | Fuite code source 2020, usage massif criminel 2021-2024 |
| Emotet | Cybercrime | Loader polymorphic, spread email | Takedown Europol janvier 2021, retour novembre 2021 |
| TrickBot | Cybercrime | Modulaire, bascule ransomware | Lié à Conti 2021, arrêt 2022 |
| Qakbot | Cybercrime | Loader bancaire, spread email | Takedown FBI août 2023, retour décembre 2023 |
| IcedID | Cybercrime | Loader remplaçant TrickBot/Qakbot | Evolution continue, bascule Forest Blizzard 2024 |
| LockBit | Ransomware cybercrime | Leader RaaS, variants 2.0, 3.0, Green | Démantèlement partiel Opération Cronos février 2024 |
| ALPHV/BlackCat | Ransomware Rust-based | Rust, triple extortion | Exit scam mars 2024 |
| Play | Ransomware | Rebrand fréquent, cible PME | Actif 2022-2026 |
| Pegasus (NSO Group) | Spyware étatique | Zero-click iOS, exploits 0-day chain | Analyses Amnesty Tech, Citizen Lab, ANSSI |
| xz-utils backdoor | Supply chain sophistiquée | Porte dérobée dans liblzma affectant OpenSSH | CVE-2024-3094, découverte Andres Freund mars 2024 |
| Akira | Ransomware Rust | Variants Linux et Windows | Actif 2023-2026, cibles ESXi |
| BumbleBee | Loader | Remplaçant BazarLoader | Usage Conti/ALPHV 2022-2024 |
| Rhysida | Ransomware | Cible santé et secteur public | Actif 2023-2026 |
La connaissance de ces familles — leurs TTPs, leurs configurations C2, leurs techniques d'évasion — constitue le socle culturel du malware analyst senior.
5. Stack technique complète
| Catégorie | Outils 2026 |
|---|---|
| Analyse statique | Ghidra (NSA, gratuit), IDA Pro (commercial), Binary Ninja, radare2, Cutter, Hopper (macOS) |
| Capability detection | capa (Mandiant, règles YAML-capa), capa-rules community |
| Strings et entropy | FLARE-FLOSS (strings obfusquées), Detect It Easy (DIE), PEStudio, CFF Explorer |
| Sandbox en ligne | Any.Run, Hybrid Analysis (CrowdStrike), Joe Sandbox, Triage (Hatching), Intezer Analyze |
| Sandbox local | Cuckoo Sandbox (open-source), VMRay (commercial) |
| VM préconfigurée | FLARE-VM (Mandiant, Windows), REMnux (Linux Lenny Zeltser) |
| Debugging | x64dbg, WinDbg Preview, OllyDbg, gdb plus gef plus pwndbg, LLDB |
| Memory | Volatility 3, Rekall, MemProcFS |
| Network | Wireshark, mitmproxy, Fiddler, Burp Suite, Zeek, INetSim, FakeDNS |
| Unpacking | x64dbg avec ScyllaHide, Scylla dumper, UPX unpacker, PE-sieve (Hasherezade) |
| YARA | YARA 4, YARA-X (Rust), yaraL, VirusTotal Retrohunt |
| Datasets publics | MalwareBazaar (abuse.ch), VirusTotal Enterprise, Malpedia (Fraunhofer FKIE), Hybrid Analysis Public |
| Parsing et scripting | Python plus pefile, lief, pyelftools, unicorn emulator, angr |
| Obfuscation | de4dot (.NET), Nexus-Deobfuscator, Simplify (Smali Android) |
| Rapport et partage | MISP, OpenCTI, Markdown plus Obsidian, Typora |
Stack junior réaliste 2026 (tout gratuit ou freemium) : FLARE-VM sur Windows 10 VM plus REMnux sur Linux VM plus Ghidra plus capa plus Any.Run (free tier) plus YARA plus Volatility 3. Workflow complet d'analyse d'un sample MalwareBazaar en 3-5 heures. Portfolio minimum viable : 5 write-ups publics de samples différents.
6. YARA : la production canonique
Définition : YARA est un langage de règles de signature créé par Victor Álvarez (VirusTotal) en 2013. Une règle combine des chaînes de caractères (text, hex, regex), une condition logique et des métadonnées. Standard de facto pour classifier et détecter les échantillons malware.
Structure d'une règle YARA
- Header :
rule RULE_NAME - Meta : description, auteur, date, références, hash de référence
- Strings : chaînes à rechercher (text, hex, regex) avec modifiers (nocase, wide, ascii, fullword)
- Condition : expression logique sur les strings
Exemple de règle YARA détectant un beacon Cobalt Strike via ses artefacts structurels (extrait pédagogique exploitable en portfolio GitHub) :
rule Cobalt_Strike_Beacon_Exemple_Pedagogique {
meta:
description = "Detection Cobalt Strike beacon via artefacts structure PE plus strings canoniques"
author = "Zeroday Cyber Academy exemple pedagogique"
date = "2026-04-23"
version = "1.0"
references = "https://www.mandiant.com/resources/defining-cobalt-strike-components"
reference_samples_family = "Cobalt Strike 4.x"
mitre_attack = "T1071.001, T1105, T1055"
classification = "TLP:CLEAR"
confidence = "high"
strings:
$beacon_mz_rdata_1 = "beacon.dll" ascii wide
$beacon_mz_rdata_2 = "beacon.x64.dll" ascii wide
$canonical_str_1 = "%d is an x86 process (can't inject x64 content)" ascii
$canonical_str_2 = "Could not connect to pipe (%s): %d" ascii
$canonical_str_3 = "Started service %s on %s" ascii
$canonical_str_4 = "%s as %s\\%s: %d" ascii
$pipe_patterns = /\\\\\\\\\.\\\\pipe\\\\msagent_[0-9a-f]{2}/ ascii
$pipe_postex = /postex_[0-9a-f]{4}/ ascii
$hex_sleep_mask = { C7 85 ?? ?? ?? ?? 69 6E 66 6F }
$user_agent_fp = "Mozilla/5.0 (compatible; MSIE 11.0; Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" ascii
condition:
uint16(0) == 0x5A4D
and filesize < 5MB
and (
2 of ($beacon_mz_rdata_*)
or 3 of ($canonical_str_*)
or ($pipe_patterns or $pipe_postex)
or ($hex_sleep_mask and $user_agent_fp)
)
}
rule Generic_PE_Packer_Suspicious_Entropy {
meta:
description = "PE avec entropie elevee sur section principale, indice de packing"
author = "Zeroday Cyber Academy exemple pedagogique"
date = "2026-04-23"
version = "1.0"
condition:
uint16(0) == 0x5A4D
and pe.number_of_sections >= 1
and for any i in (0..pe.number_of_sections - 1): (
math.entropy(
pe.sections[i].raw_data_offset,
pe.sections[i].raw_data_size
) >= 7.2
)
}Ces règles sont des exemples pédagogiques à adapter : les vraies règles Cobalt Strike publiées par Mandiant, SpecterOps, Elastic Security Labs et la communauté couvrent bien plus de patterns (plus de 200 artefacts traçables). Les versions production s'appuient sur Elastic Security Labs Cobalt Strike detection rules, SpecterOps beacon-rules, et les règles publiques de The DFIR Report.
7. Profil type et certifications
Profils d'entrée les plus compatibles
| Profil initial | Durée de bascule malware analyst | Prérequis clés |
|---|---|---|
| Reverse engineer (non-malware) | 6-9 mois | Assembleur x86/x64, CFF internals, déjà à l'aise avec IDA/Ghidra |
| Développeur bas niveau C/C++ senior | 9-12 mois | Compréhension profonde PE/ELF, API Windows, pointeurs |
| Pentester / red teamer confirmé | 9-15 mois | Connaissance offensive, développement d'exploits, Cobalt Strike |
| Analyste SOC L3 / threat hunter | 12-18 mois | Bases ATT&CK, familles malware connues opérationnellement |
| Passionné CTF reverse (plus 500h sur pwnable.tw, CTFTime RE) | Directement junior | Preuve par le CTF |
| Étudiant école ingé avec spécialisation reverse | Directement junior | Stage cyber offensif ou malware research |
Le malware analyst n'est pas un métier d'entrée direct depuis zéro. Passage obligé par 2-3 ans de reverse, ou de code bas niveau, ou de pentest avec appétence CTF RE.
Certifications par palier
| Palier | Certification | Éditeur | Coût examen indicatif |
|---|---|---|---|
| Socle cyber | CompTIA Security+ plus CySA+ | CompTIA | ≈ 400 € plus 380 $ |
| Reverse hands-on | GREM (GIAC Reverse Engineering Malware) | SANS/GIAC | ≈ 1 000 $ |
| Reverse avancé | CREA (Certified Reverse Engineering Analyst) | IACIS | ≈ 795 $ |
| Defense analyst | OSDA (Offensive Security Defense Analyst) | OffSec | ≈ 1 800 $ |
| Pratique communautaire | FLARE-On Challenge (Mandiant) | Mandiant | Gratuit |
| Pratique communautaire | Zero2Auto course | Zero2Auto community | ≈ 500 $ |
| Pratique communautaire | MalwareBytes Threat Intel Insights | Malwarebytes | Contenu gratuit |
| Senior transverse | CISSP | (ISC)² | ≈ 749 $ |
Combinaison marché France 2026 : Security+ plus GREM puis un FLARE-On avec 5+ challenges terminés — ossature très lisible par les recruteurs. Portfolio : 10+ write-ups de samples publics MalwareBazaar, 3-5 règles YARA originales publiées, 1-2 contributions à capa-rules ou YARA-X.
8. Salaires et trajectoire
| Niveau | Ancienneté malware | Province (brut annuel) | Île-de-France (brut annuel) |
|---|---|---|---|
| Malware analyst junior | 0-2 ans | 48-65 k€ | 52-72 k€ |
| Malware analyst confirmé | 2-5 ans | 62-85 k€ | 68-95 k€ |
| Malware analyst senior | 5-8 ans | 82-110 k€ | 90-120 k€ |
| Lead malware analysis / Principal threat researcher | 8+ ans | 105-140 k€ | 115-155 k€ |
| Freelance senior | 7+ ans | TJM 900-1 500 € | TJM 900-1 500 € |
Sources indicatives : Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France. Secteurs payeurs : éditeurs cyber français (Sekoia.io, Filigran, HarfangLab, Stormshield, Tehtris), CERT d'ESN (Orange Cyberdefense CERT, Thales CSIRT, Airbus CyberSecurity), banque et assurance, défense. Secteur public (ANSSI CERT-FR, Commandement Cyber, DGSI cyber) plafonné mais offrant impact et réseau.
Bifurcations possibles
- Threat researcher senior : publication technique, conférence (SSTIC, LeHack, Black Hat).
- Analyste CTI avec forte dimension technique. Voir Qu'est-ce qu'un analyste CTI.
- Detection Engineer : bascule construction de détections via YARA, Sigma, règles EDR.
- Exploit developer : bascule côté offensif.
- Red Team senior : usage malware analysis pour contourner EDR/AV. Voir Qu'est-ce qu'un red teamer.
- Éditeur cyber : postes Threat Research chez Mandiant, CrowdStrike, SentinelOne, Kaspersky GReAT, ESET, Sekoia.io, Filigran, HarfangLab.
- Secteur public : ANSSI CERT-FR, Commandement Cyber, DGSI, Europol EC3.
- Consulting indépendant : TJM 900-1 500 €, malware analysis post-incident DFIR.
9. Pour aller plus loin
- Panorama des métiers de la cybersécurité : guide complet.
- Qu'est-ce qu'un forensic analyst : souvent partenaire direct du malware analyst post-incident.
- Qu'est-ce qu'un analyste CTI : consommateur et producteur croisé avec le malware analyst.
- Qu'est-ce qu'un analyste SOC : bénéficiaire direct des règles YARA produites.
- Qu'est-ce qu'un red teamer : utilise les insights malware pour contournement EDR.
- Qu'est-ce qu'une purple team : exploite les analyses pour construction de détections.
Points clés à retenir
- Malware analyst = extraction d'IOCs actionnables, mapping MITRE ATT&CK, signatures YARA, attribution. 80 % de la valeur est dans les artefacts livrés, pas dans l'exercice technique.
- 3 types d'analyse : statique (Ghidra, IDA, Binary Ninja), dynamique (Any.Run, Joe Sandbox, Cuckoo, FLARE-VM, REMnux), mémoire (Volatility 3).
- Techniques avancées : unpacking (Scylla, PE-sieve), bypass anti-analysis (x64dbg ScyllaHide), extraction C2 (CobaltStrikeParser), deobfuscation (FLOSS, capa).
- Malwares emblématiques 2020-2025 : Cobalt Strike (détourné), Emotet, TrickBot, Qakbot, IcedID, LockBit, ALPHV, Pegasus, xz-utils backdoor (CVE-2024-3094, mars 2024).
- Stack cœur 2026 : FLARE-VM plus REMnux plus Ghidra plus capa plus YARA plus Volatility — tout gratuit, lab complet montable en 2-3 jours.
- YARA : langage canonique (Victor Álvarez 2013, YARA-X en Rust 2024+) pour signatures de détection. Production incontournable de l'analyste.
- Certifications : GREM (SANS) socle hands-on, CREA avancé, FLARE-On Challenge (Mandiant, annuel) valorise le portfolio.
- Salaires : 48-72 k€ junior, 90-120 k€ senior, 115-155 k€ Lead. Éditeurs cyber français (Sekoia.io, Filigran, HarfangLab) payeurs.
- Pas un métier d'entrée direct : exige 2-3 ans de reverse, code C/C++ bas niveau, pentest avec appétence CTF RE ou passage par FLARE-On.
L'accompagnement cyber 6 mois propose un cursus malware analysis avec préparation GREM, lab FLARE-VM plus REMnux plus Ghidra, analyse de 10+ samples MalwareBazaar, écriture de 5+ règles YARA commitées, participation au FLARE-On Challenge et coaching d'entretien éditeurs cyber français (Sekoia.io, Filigran, HarfangLab, Stormshield, Tehtris) et CERT ESN (Orange Cyberdefense, Thales, Airbus).
