Chrysalis : le backdoor de Lotus Blossom distribuĂ© via lâabus de Notepad++ et un loader Warbird
Source: Rapid7 â Rapid7 Labs et lâĂ©quipe MDR publient une analyse technique dâune campagne attribuĂ©e Ă lâAPT chinois Lotus Blossom, active depuis 2009 et ciblant surtout lâAsie du Sud-Est (et rĂ©cemment lâAmĂ©rique centrale). LâenquĂȘte met au jour le backdoor sur mesure âChrysalisâ, livrĂ© via un abus de lâinfrastructure de distribution de Notepad++, et un loader exploitant le framework Microsoft Warbird.
âą ChaĂźne dâinfection et loaders. LâaccĂšs initial est en ligne avec lâabus public de Notepad++ (exĂ©cution de notepad++.exe puis GUP.exe avant un âupdate.exeâ tĂ©lĂ©chargĂ© depuis 95.179.213.0). âupdate.exeâ est un installateur NSIS plaçant dans %AppData%\Bluetooth un exĂ©cutable lĂ©gitime renommĂ© (BluetoothService.exe, Bitdefender Submission Wizard) pour du DLL sideloading avec un log.dll malveillant. LogInit/LogWrite chargent, dĂ©chiffrent et exĂ©cutent du shellcode via une dĂ©rivation de clĂ© (LCG + finaliseur MurmurHash-like) et rĂ©solution dâAPI par hash (FNV-1a + avalanche). Le shellcode dĂ©chiffre le module principal (clĂ© XOR gQ2JR&9;), charge dynamiquement des DLLs, reconstruit des chaĂźnes obfusquĂ©es et rĂ©sout les APIs en marchant le PEB.
đą Turla: analyse du loader Kazuar v3 (COM, sideloading MFC, contournements ETW/AMSI)
đ Dans un billet technique publiĂ© le 14 janvier 2026, lâauteur analyse la derniĂšre version du loader Kazuar v3 attribuĂ© Ă **Tu...
đ cyberveille :
https://cyberveille.ch/posts/2026-01-16-turla-analyse-du-loader-kazuar-v3-com-sideloading-mfc-contournements-etw-amsi/đ source :
https://r136a1.dev/2026/01/14/command-and-evade-turlas-kazuar-v3-loader/#DLL_sideloading #ETW_AMSI_bypass #CyberveilleTurla: analyse du loader Kazuar v3 (COM, sideloading MFC, contournements ETW/AMSI)
Dans un billet technique publiĂ© le 14 janvier 2026, lâauteur analyse la derniĂšre version du loader Kazuar v3 attribuĂ© Ă Turla, faisant Ă©cho Ă une campagne Ă©voquĂ©e par ESET (Ă©tiquette dâagent AGN-RR-01).
Le point dâentrĂ©e est un VBScript (8RWRLT.vbs) qui crĂ©e des rĂ©pertoires sous %LOCALAPPDATA%\Programs\HP\Printer\Driver, tĂ©lĂ©charge plusieurs fichiers depuis 185.126.255[.]132, exĂ©cute un exĂ©cutable HP signĂ© (hpbprndi.exe) pour dĂ©clencher un DLL sideloading, et Ă©tablit une persistance via une clĂ© Run. Le script collecte ensuite des infos hĂŽte (OS, uptime, archi CPU, nom machine/utilisateur/domaine, liste des processus, inventaire du dossier crĂ©Ă©) et les envoie en POST vers /requestor.php.
HP Wolf Security dresse le panorama des menaces Q3 2025 : PDF/SVG piĂ©gĂ©s, DLL sideloading et voleurs dâidentifiants
Selon HP Wolf Security (Threat Insights Report, dĂ©cembre 2025), ce rapport synthĂ©tise les menaces observĂ©es au T3 2025 aprĂšs isolement des charges qui ont Ă©chappĂ© aux filtres de messagerie et autres contrĂŽles, afin de documenter les techniques dâattaque courantes et Ă©mergentes.
âą Campagnes notables et familles de malware đ§Ș
En AmĂ©rique du Sud, des eâmails usurpent le bureau du Procureur colombien avec piĂšces jointes SVG faiblement dĂ©tectĂ©es, menant Ă une archive 7z chiffrĂ©e contenant un exĂ©cutable signĂ© et une DLL altĂ©rĂ©e pour du DLL sideloading. ChaĂźne: HijackLoader (antiâanalyse, direct syscalls) puis PureRAT avec persistance via tĂąche planifiĂ©e. Des PDF brandĂ©s Adobe redirigent vers une fausse page de mise Ă jour avec animations rĂ©alistes, livrant une version modifiĂ©e de ScreenConnect donnant un accĂšs Ă distance. En Turquie, des entreprises dâingĂ©nierie sont visĂ©es via archives XZ contenant VBS/VBE, chaĂźne multiâĂ©tapes avec stĂ©ganographie dans une image pour transporter le code, chargement .NET via PowerShell et injection dans MsBuild, final MassLogger (stealer). Des PDF mĂšnent Ă des fichiers hĂ©bergĂ©s sur Discord, livrant un EXE Microsoft signĂ© qui sideloade msedge_elf.dll ; contournement de Memory Integrity de Windows 11 24H2 avant injection .NET dans AddInProcess32, final Phantom Stealer (vol de mots de passe, cookies, cartes, wallets). Des commandes dâachat factices en Word ciblant des organisations sinophones utilisent des macros VBA pour tĂ©lĂ©charger du PowerShell qui injecte dans AddInProcess32, final Agent Tesla (keylogging, exfil via HTTP/SMTP/FTP/Telegram). Phishing HTML imitant WeTransfer : vol dâidentifiants envoyĂ© via Telegram. âą Tendances de fichiers et vecteurs đ
Evasive Panda empoisonne le DNS pour livrer MgBot via faux updaters et DLL sideloading
Selon Kaspersky GReAT (24 dĂ©c. 2025), Evasive Panda conduit depuis novembre 2022 jusquâĂ novembre 2024 des opĂ©rations ciblĂ©es mĂȘlant adversaryâinâtheâmiddle (AitM) et empoisonnement DNS pour livrer et exĂ©cuter en mĂ©moire lâimplant MgBot, avec des chargeurs conçus pour lâĂ©vasion et des artefacts chiffrĂ©s uniques par victime.
Les attaquants abusent de faux updaters dâapplications populaires (SohuVA, iQIYI Video, IObit Smart Defrag, Tencent QQ). Un chargeur initial C++ (WTL/Wizard97Test modifiĂ©) dĂ©chiffre et dĂ©compresse une configuration LZMA, dĂ©finit un chemin dâinstallation (%ProgramData%\Microsoft\MF), et contacte une ressource: http://www.dictionary.com/ (URI: image?id=115832434703699686&product=dict-homepage.png). Il adapte son comportement selon lâutilisateur (SYSTEM), manipule explorer.exe dans %TEMP%, et dĂ©chiffre un shellcode quâil exĂ©cute aprĂšs avoir modifiĂ© les protections mĂ©moire via VirtualProtect.
đą Lazarus (DreamJobs) cible le secteur UAV avec des DreamLoaders modulaires via DLL sideloading
đ Source: Lab52 â Dans une analyse technique, Lab52 dĂ©crit une campagne DreamJobs attribuĂ©e au groupe Lazarus visant le secteur UAV, mettant en...
đ cyberveille :
https://cyberveille.ch/posts/2025-10-24-lazarus-dreamjobs-cible-le-secteur-uav-avec-des-dreamloaders-modulaires-via-dll-sideloading/đ source :
https://lab52.io/blog/dreamloaders/#DLL_sideloading #DreamJobs #CyberveilleLazarus (DreamJobs) cible le secteur UAV avec des DreamLoaders modulaires via DLL sideloading
Source: Lab52 â Dans une analyse technique, Lab52 dĂ©crit une campagne DreamJobs attribuĂ©e au groupe Lazarus visant le secteur UAV, mettant en lumiĂšre des chargeurs modulaires (« DreamLoaders ») dĂ©ployĂ©s via DLL sideloading, applications trojanisĂ©es et communications C2 appuyĂ©es sur des services Microsoft.
âą Le rapport identifie trois variantes de loaders et une forte rĂ©utilisation de code entre artefacts (â85% de similaritĂ©). Les attaquants cherchent notamment Ă obtenir des identifiants dâadministrateurs par des moyens trompeurs, en combinant Ă©vasion avancĂ©e, charges chiffrĂ©es et services cloud Microsoft âïž.
SideWinder APT cible lâAsie du Sud via PDF/ClickOnce et DLL sideloading pour dĂ©ployer StealerBot
Selon le Trellix Advanced Research Center (blog de recherche), une campagne dâespionnage sophistiquĂ©e attribuĂ©e Ă SideWinder APT a visĂ© des entitĂ©s gouvernementales au Sri Lanka, Pakistan, Bangladesh ainsi que des missions diplomatiques en Inde. LâopĂ©ration, conduite en plusieurs vagues, combine phishing, chaĂźnes dâinfection PDF/ClickOnce et des exploits Word traditionnels.
Lâattaque commence par des emails piĂ©gĂ©s contenant des PDF incitant Ă tĂ©lĂ©charger de fausses mises Ă jour Adobe Reader. Ces leurres livrent des applications ClickOnce signĂ©es avec des certificats lĂ©gitimes MagTek, abusĂ©s pour un DLL sideloading. Les auteurs ont Ă©galement recours Ă des exploits Word (p. ex. CVEâ2017â0199) dans des scĂ©narios plus classiques.
HeartCrypt : un packer-as-a-service infiltre des logiciels lĂ©gitimes pour dĂ©ployer RAT et voleurs dâidentifiants
Selon Sophos (Sophos News), des chercheurs publient une analyse approfondie de HeartCrypt, une opĂ©ration de packer-as-a-service active Ă lâinternational qui cible des organisations via des campagnes localisĂ©es et des chaĂźnes dâinfection sophistiquĂ©es.
âą PortĂ©e et infrastructure đ°ïž LâĂ©tude couvre des milliers dâĂ©chantillons, prĂšs de 1 000 serveurs C2 et plus de 200 Ă©diteurs de logiciels usurpĂ©s. HeartCrypt opĂšre dans plusieurs pays avec des campagnes dâhameçonnage adaptĂ©es localement et a Ă©tĂ© reliĂ© Ă des opĂ©rations de rançongiciel dont RansomHub et MedusaLocker.
EggStreme : un nouveau framework APT fileless vise une entreprise militaire philippine (Bitdefender)
Selon Bitdefender (blog Business Insights), une enquĂȘte dĂ©marrĂ©e dĂ©but 2024 sur un environnement dâune entreprise militaire philippine a mis au jour un nouveau framework de malware fileless nommĂ© EggStreme, dont les TTPs sâalignent sur ceux de groupes APT chinois. Lâobjectif: obtenir un accĂšs persistant et discret pour de lâespionnage Ă long terme.
âą ChaĂźne dâinfection et persistance. Lâattaque dĂ©bute via DLL sideloading: un script netlogon/logon.bat dĂ©ploie WinMail.exe (lĂ©gitime) et mscorsvc.dll (malveillant, EggStremeFuel). EggStremeFuel Ă©tablit un reverse shell et rĂ©alise du fingerprinting. Les attaquants abusent de services Windows dĂ©sactivĂ©s (ex. MSiSCSI, AppMgmt, SWPRV), modifient ServiceDLL et octroient SeDebugPrivilege pour persister. Un service EggStremeLoader lit un conteneur chiffrĂ© (ielowutil.exe.mui) pour extraire un reflective loader injectĂ© dans winlogon, qui lance lâimplant final EggStremeAgent.
CyberVeille.ch