đą Analyse technique de la chaĂźne d'infection EDR killer de Qilin ransomware via msimg32.dll
đ ## đ Contexte
Publié le 2 avril 2026 par Takahiro Takeda sur le blog Cisco Talos Intelligence, cet article constitue une analyse tech...
đ cyberveille : https://cyberveille.ch/posts/2026-04-05-analyse-technique-de-la-chaine-d-infection-edr-killer-de-qilin-ransomware-via-msimg32-dll/
đ source : https://blog.talosintelligence.com/qilin-edr-killer/
#BYOVD #DLL_Side_Loading #Cyberveille
đą Mustang Panda : analyse technique approfondie de la chaĂźne d'infection PlugX ciblant l'Iran
đ ## đ Contexte
Publié le 27 mars 2026 sur le blog personnel d'Abdullah Islam, cet article constitue une **analyse technique approfond...
đ cyberveille : https://cyberveille.ch/posts/2026-04-03-mustang-panda-analyse-technique-approfondie-de-la-chaine-d-infection-plugx-ciblant-l-iran/
đ source : https://0x3obad.github.io/posts/plugx-writeup/
#DLL_side_loading #Eraser_dat #Cyberveille
đ Contexte PubliĂ© le 27 mars 2026 sur le blog personnel dâAbdullah Islam, cet article constitue une analyse technique approfondie dâune campagne attribuĂ©e au groupe APT Mustang Panda (liĂ© Ă la Chine), ciblant des entitĂ©s gouvernementales, diplomatiques et des ONG. LâĂ©chantillon analysĂ© a Ă©tĂ© observĂ© pour la premiĂšre fois le 17 mars 2026. đŻ Vecteur dâinfection initial La chaĂźne dâinfection dĂ©bute par un fichier ZIP de spear-phishing nommĂ© Energy_Infrastructure_Situation_Note_Tehran_Province_2026.zip, suggĂ©rant un ciblage liĂ© Ă lâinfrastructure Ă©nergĂ©tique iranienne. Un fichier LNK malveillant dĂ©clenche silencieusement un script PowerShell en fenĂȘtre cachĂ©e (-w H).
Selon Arctic Wolf Labs, une campagne active (septembreâoctobre 2025) attribuĂ©e au groupe affiliĂ© chinois UNC6384 cible des entitĂ©s diplomatiques europĂ©ennes, notamment en Hongrie et en Belgique, en exploitant la vulnĂ©rabilitĂ© Windows LNK ZDI-CAN-25373 pour livrer le RAT PlugX. đŻ Ciblage et leurres: La chaĂźne dâattaque dĂ©marre par des eâmails de spearphishing contenant des URLs menant Ă des fichiers .LNK thĂ©matiques (rĂ©unions Commission europĂ©enne, ateliers liĂ©s Ă lâOTAN, sommets multilatĂ©raux). Ces LNK exploitent ZDI-CAN-25373 via un remplissage dâespaces dans COMMAND_LINE_ARGUMENTS pour lancer PowerShell, extraire un tar (ex. rjnlzlkfe.ta), afficher un PDF leurre lĂ©gitime et exĂ©cuter un utilitaire Canon signĂ©.
Selon Volexity (blog), lâacteur UTA0388, alignĂ© sur la Chine, a menĂ© entre juin et septembre 2025 des campagnes de spear phishing sophistiquĂ©es dĂ©ployant le malware GOVERSHELL, avec un recours prĂ©sumĂ© aux LLM pour gĂ©nĂ©rer du contenu multilingue. âą Contexte et cibles đŻ UTA0388 cible des organisations en AmĂ©rique du Nord, en Asie et en Europe, avec un intĂ©rĂȘt marquĂ© pour les enjeux gĂ©opolitiques asiatiques, en particulier TaĂŻwan. Les campagnes sâappuient sur des tactiques de « rapportâbuilding » (crĂ©ation de lien) et montrent des indices dâautomatisation par LLM (fabrications absurdes, personas incohĂ©rents, ciblage inconsistant).
Selon le blog PolySwarm, le groupe liĂ© au renseignement russe Fancy Bear (APT28) a dĂ©ployĂ© NotDoor, un backdoor sophistiquĂ© pour Outlook visant des pays membres de lâOTAN. âą Le malware repose sur des macros VBA et abuse un binaire Microsoft OneDrive.exe signĂ© vulnĂ©rable au DLL side-loading pour charger une SSPICLI.dll malveillante. Cette DLL installe des macros dans VbaProject.OTM dâOutlook, fournissant le point dâaccĂšs du backdoor. âą NotDoor surveille des dĂ©clencheurs e-mail tels que « Daily Report », puis parse des commandes chiffrĂ©es via un encodage Base64 personnalisĂ© avec prĂ©fixes alĂ©atoires. Il prend en charge quatre types de commandes: cmd, cmdno, dwn, upl.
Source: LAB52 (Ă©quipe renseignement de S2 Grupo). Contexte: analyse technique dâun nouvel artefact dâAPT28 (« NotDoor ») ayant compromis des entreprises de divers secteurs dans des pays membres de lâOTAN. đ Livraison et installation: Le malware est une macro VBA pour Outlook installĂ©e via DLL sideâloading en abusant du binaire lĂ©gitime Microsoft OneDrive.exe qui charge une SSPICLI.dll malveillante. Cette DLL installe la backdoor en copiant un fichier prĂ©parĂ© (c:\programdata\testtemp.ini) vers %APPDATA%\Microsoft\Outlook\VbaProject.OTM, puis dĂ©sactive des protections macro et boĂźtes de dialogue via la base de registre.
Source: Google Cloud Blog (Google Threat Intelligence, GTIG). Contexte: publication dâune analyse technique dĂ©taillant une campagne dâespionnage attribuĂ©e Ă UNC6384, groupe PRCânexus apparentĂ© Ă TEMP.Hex/Mustang Panda, ciblant en prioritĂ© des diplomates et des organisations gouvernementales en Asie du SudâEst. âą ChaĂźne dâattaque: lâopĂ©ration commence par un dĂ©tournement de portail captif via un AttackerâinâtheâMiddle qui redirige le test de connectivitĂ© des navigateurs (gstatic generate_204) vers un site contrĂŽlĂ© par lâattaquant. La page imite une mise Ă jour de plugin en HTTPS avec certificat Letâs Encrypt et propose un exĂ©cutable signĂ©. Le premier Ă©tage, STATICPLUGIN, tĂ©lĂ©charge un « BMP » qui est en rĂ©alitĂ© un MSI, installe des fichiers Canon lĂ©gitimes dĂ©tournĂ©s et sideâloade le lanceur CANONSTAGER, lequel dĂ©chiffre et exĂ©cute en mĂ©moire le backdoor SOGU.SEC.
Source et contexte â IBM X-Force publie une analyse technique de « QuirkyLoader », observĂ© depuis novembre 2024, un nouveau loader employĂ© pour dĂ©poser des charges additionnelles sur des hĂŽtes dĂ©jĂ compromis. Lâarticle dĂ©taille la chaĂźne dâinfection, les techniques dâĂ©vasion, les familles livrĂ©es, la victimologie rĂ©cente (TaĂŻwan, Mexique) et des indicateurs dâinfraction associĂ©s. ChaĂźne dâinfection â La campagne dĂ©bute par des eâmails de spam contenant une archive malveillante. Celleâci regroupe un exĂ©cutable lĂ©gitime, un payload chiffrĂ© (dĂ©guisĂ© en DLL) et un module DLL loader. Lâacteur exploite le DLL sideâloading: lâexĂ©cutable lĂ©gitime charge la DLL malveillante, qui lit et dĂ©chiffre la charge, puis lâinjecte dans un processus cible. Le module DLL est systĂ©matiquement Ă©crit en C# .NET et compilĂ© en AheadâofâTime (AOT), produisant un binaire natif qui ressemble Ă du C/C++. Un variant notĂ© utilise le chiffre Speckâ128 en mode CTR pour gĂ©nĂ©rer un keystream (opĂ©rations ARX) et dĂ©chiffrer le payload par XOR en blocs de 16 octets.
Selon Unit 42, un acteur de menace, identifiĂ© comme Storm-2603, exploite des vulnĂ©rabilitĂ©s SharePoint Ă travers un ensemble dâactivitĂ©s nommĂ© CL-CRI-1040. Ce groupe utilise un outil de malware sophistiquĂ© appelĂ© Project AK47, dĂ©montrant une motivation financiĂšre. Le malware Project AK47 comprend plusieurs composants, notamment le cheval de Troie AK47C2 qui utilise les protocoles DNS et HTTP pour communiquer, ainsi que le rançongiciel AK47/X2ANYLOCK qui emploie le chiffrement AES/RSA et ajoute lâextension .x2anylock aux fichiers compromis. Le malware intĂšgre des mĂ©canismes de chargement de DLL et utilise une clĂ© XOR codĂ©e en dur âVHBD@Hâ.
CyberVeille.ch