EtherRAT : backdoor Node.js lié à la Corée du Nord utilisant l'Ethereum pour son C2

🔍 Contexte En mars 2026, l’équipe Threat Response Unit (TRU) d’eSentire a détecté EtherRAT dans l’environnement d’un client du secteur Retail. Ce backdoor Node.js est lié par Sysdig à un groupe APT nord-coréen via des recoupements avec les TTPs de la campagne “Contagious Interview”. 🎯 Vecteur d’accès initial L’accès initial a été réalisé via ClickFix, exploitant une technique d’exécution indirecte de commandes : pcalua.exe (LOLBin) est utilisé pour exécuter mshta.exe Récupération d’un script HTA malveillant “shep.hta” depuis le site compromis www-flow-submission-management.shepherdsestates.uk Obfuscation de la ligne de commande via le caractère ^ Dans d’autres incidents, TRU observe principalement des arnaques IT Support via Microsoft Teams suivies de l’utilisation de QuickAssist.