Mastodawn

📢 Intrusion de 2 mois attribuée à LUNAR SPIDER: chaîne Latrodectus → Brute Ratel → Cobalt Strike et exfiltration via rclone
📝 Source: The DFI...
📖 cyberveille : https://cyberveille.ch/posts/2025-09-30-intrusion-de-2-mois-attribuee-a-lunar-spider-chaine-latrodectus-brute-ratel-cobalt-strike-et-exfiltration-via-rclone/
🌐 source : https://thedfirreport.com/2025/09/29/from-a-single-click-how-lunar-spider-enabled-a-near-two-month-intrusion/
#Brute_Ratel #Cobalt_Strike #Cyberveille

Intrusion de 2 mois attribuée à LUNAR SPIDER: chaîne Latrodectus → Brute Ratel → Cobalt Strike et exfiltration via rclone

Source: The DFIR Report (30 sept. 2025). Contexte: incident survenu en mai 2024, démarré par l’exécution d’un JavaScript Latrodectus 1.3 déguisé en formulaire fiscal W‑9, menant au déploiement de Brute Ratel puis Cobalt Strike, et à une présence quasi continue durant près de deux mois. • Chaîne d’intrusion: un JS fortement obfusqué télécharge un MSI qui lance un DLL Brute Ratel (via rundll32), lequel injecte Latrodectus dans explorer.exe et établit des C2 (souvent derrière Cloudflare). Le stealer Latrodectus est récupéré, puis, ~1 h après l’accès initial, début de la reconnaissance (ipconfig, systeminfo, nltest, whoami). ~6 h après, mise en place d’un BackConnect/VNC opérationnel pour navigation, dépôts d’outils et contrôle à distance.

CyberVeille

ITSEC News Sep 3, 2024

Threat actors using MacroPack to deploy Brute Ratel, Havoc and PhantomCore payloads - Cisco Talos recently discovered several related Microsoft Office documents uploade... https://blog.talosintelligence.com/threat-actors-using-macropack/ #brute_ratel #macropack #threats #securex #havoc

Threat actors using MacroPack to deploy Brute Ratel, Havoc and PhantomCore payloads

Cisco Talos recently discovered several related Microsoft Office documents uploaded to VirusTotal by various actors between May and July 2024 that were all generated by a version of a payload generator framework called “MacroPack.”

Cisco Talos Blog