GrayAlpha utilise des vecteurs d'infection variés pour déployer PowerNet Loader et NetSupport RAT

L’article publié par Insikt Group le 13 juin 2025 révèle de nouvelles infrastructures associées à GrayAlpha, un acteur de la menace lié au groupe FIN7. Ce groupe utilise des domaines pour la distribution de charges utiles et des adresses IP supplémentaires qui leur sont associées. Insikt Group a découvert un chargeur PowerShell personnalisé nommé PowerNet, qui décompresse et exécute NetSupport RAT. Un autre chargeur personnalisé, MaskBat, similaire à FakeBat mais obfusqué, a également été identifié. Trois méthodes principales d’infection ont été observées : des pages de mise à jour de navigateur factices, des sites de téléchargement 7-Zip factices, et le système de distribution de trafic TAG-124.