đą Analyse technique d'une chaĂźne multi-Ă©tages livrant un Cobalt Strike Beacon stageless
đ ## đ Contexte
Publié le 22 avril 2026 par Joe Security LLC sur joesecurity.org, cet article présente une **reconstruction technique complÚte d'une chaßne d'infe...
đ cyberveille : https://cyberveille.ch/posts/2026-04-22-analyse-technique-d-une-chaine-multi-etages-livrant-un-cobalt-strike-beacon-stageless/
đ source : https://www.joesecurity.org/news
#CPLoadNET #Cobalt_Strike #Cyberveille
Analyse technique d'une chaĂźne multi-Ă©tages livrant un Cobalt Strike Beacon stageless
đ Contexte PubliĂ© le 22 avril 2026 par Joe Security LLC sur joesecurity.org, cet article prĂ©sente une reconstruction technique complĂšte dâune chaĂźne dâinfection multi-Ă©tages aboutissant au dĂ©ploiement dâun Cobalt Strike Beacon stageless. Lâanalyse a Ă©tĂ© conduite via Joe Sandbox Cloud Pro et le nouvel outil Joe Reverser.
𧩠ChaĂźne dâinfection LâĂ©chantillon initial se prĂ©sentait comme peu suspect mais dissimulait plusieurs couches dâexĂ©cution :
Stage 1 : Loader .NET (classe CPLoadNET.Runner.cs) avec mĂ©canisme anti-sandbox vĂ©rifiant lâappartenance Ă un domaine Active Directory Stage 2 : Payload chiffrĂ© (XOR + Base64), injectĂ© dans un processus iexplore.exe suspendu via process hollowing Stage 3 : Loader en mĂ©moire qui rĂ©sout les APIs, mappe les sections, corrige les relocations et transfĂšre lâexĂ©cution au beacon Cobalt Strike embarquĂ© đ Protocole C2 et cryptographie Le beacon utilise un schĂ©ma cryptographique hybride :
đą The Gentlemen RaaS : analyse technique complĂšte du ransomware multi-plateforme et de SystemBC
đ ## đ Contexte
Publié le 20 avril 2026 par Check Point Research, cet article constitue une **analyse technique approfo...
đ cyberveille : https://cyberveille.ch/posts/2026-04-21-the-gentlemen-raas-analyse-technique-complete-du-ransomware-multi-plateforme-et-de-systembc/
đ source : https://research.checkpoint.com/2026/dfir-report-the-gentlemen/
#AnyDesk #Cobalt_Strike #Cyberveille
The Gentlemen RaaS : analyse technique complĂšte du ransomware multi-plateforme et de SystemBC
đ Contexte PubliĂ© le 20 avril 2026 par Check Point Research, cet article constitue une analyse technique approfondie du programme Ransomware-as-a-Service (RaaS) The Gentlemen, apparu vers mi-2025 et ayant revendiquĂ© plus de 320 victimes, dont 240 en 2026.
đŻ Le programme RaaS The Gentlemen The Gentlemen opĂšre un modĂšle RaaS classique avec recrutement dâaffiliĂ©s via des forums underground. Le groupe fournit :
Des lockers multi-OS (Windows, Linux, NAS, BSD) Ă©crits en Go Un locker ESXi Ă©crit en C Des outils de kill EDR et une infrastructure de pivot multi-chaĂźne Un site onion de fuite de donnĂ©es Un compte X/Twitter (@TheGentlemen25) pour pression publique sur les victimes NĂ©gociations via Tox ID ou Session ID (P2P chiffrĂ©) đ ChaĂźne dâattaque observĂ©e (DFIR) Lâattaquant est dĂ©tectĂ© initialement avec des privilĂšges Domain Admin sur un contrĂŽleur de domaine. La sĂ©quence documentĂ©e est :
đą Astral Projection : un UDRL Cobalt Strike avec module stomping avancĂ© et Ă©vasion en mĂ©moire
đ ## đ Contexte
Publié le 19 avril 2026 sur GitHub par le compte **KuwaitiSt**, le projet **Astral Projection** est un **UDRL (Use...
đ cyberveille : https://cyberveille.ch/posts/2026-04-19-astral-projection-un-udrl-cobalt-strike-avec-module-stomping-avance-et-evasion-en-memoire/
đ source : https://github.com/KuwaitiSt/Astral_Projection
#Astral_Projection #Cobalt_Strike #Cyberveille
Astral Projection : un UDRL Cobalt Strike avec module stomping avancé et évasion en mémoire
đ Contexte PubliĂ© le 19 avril 2026 sur GitHub par le compte KuwaitiSt, le projet Astral Projection est un UDRL (User-Defined Reflective Loader) conçu pour Cobalt Strike, un framework offensif largement utilisĂ© dans les opĂ©rations red team et par des acteurs malveillants.
âïž Fonctionnement technique Astral Projection implĂ©mente des techniques dâĂ©vasion en mĂ©moire avancĂ©es :
Chargement dâun module lĂ©gitime via LoadLibraryExW puis Ă©crasement de son contenu (module stomping) Pendant les phases de sommeil du beacon, le module est dĂ©chargĂ© (unmapped) tout en maintenant les entrĂ©es PEB intactes Un module frais est rechargĂ© (remapped) au rĂ©veil pour Ă©viter la dĂ©tection par des IOCs statiques en mĂ©moire đ ïž DĂ©pendances et configuration Le projet est construit avec Crystal Palace et sâappuie partiellement sur le code du projet Crystal-Kit.
đą trustme : BOF Cobalt Strike pour Ă©lĂ©vation vers TrustedInstaller via l'API DISM
đ ## đ Contexte
Publié le 26 mars 2026 sur GitHub par l'utilisateur **Meowmycks**, le projet **trustme** est un **Beacon Object File (BOF)** conçu pour s'intégrer à ...
đ cyberveille : https://cyberveille.ch/posts/2026-03-29-trustme-bof-cobalt-strike-pour-elevation-vers-trustedinstaller-via-l-api-dism/
đ source : https://github.com/Meowmycks/trustme
#Cobalt_Strike #Cobalt_Strike_BOF #Cyberveille
trustme : BOF Cobalt Strike pour élévation vers TrustedInstaller via l'API DISM
đ Contexte PubliĂ© le 26 mars 2026 sur GitHub par lâutilisateur Meowmycks, le projet trustme est un Beacon Object File (BOF) conçu pour sâintĂ©grer Ă Cobalt Strike et permettre une Ă©lĂ©vation de privilĂšges avancĂ©e sur les systĂšmes Windows.
đŻ Objectif Lâoutil Ă©lĂšve un beacon Cobalt Strike depuis un contexte administrateur vers NT AUTHORITY\SYSTEM avec le SID NT SERVICE\TrustedInstaller dans les groupes du token. Cela permet de modifier des fichiers, clĂ©s de registre et objets protĂ©gĂ©s par TrustedInstaller, inaccessibles mĂȘme avec les droits SYSTEM classiques.
BPFdoor : Red Menshen infiltre les réseaux télécoms mondiaux avec des implants furtifs
đ Contexte Rapid7 Labs publie le 26 mars 2026 un rapport dâinvestigation approfondi sur une campagne dâespionnage avancĂ©e ciblant les rĂ©seaux de tĂ©lĂ©communications mondiaux. Lâacteur identifiĂ© est Red Menshen, un groupe Ă nexus chinois (China-nexus), opĂ©rant sur le long terme avec des objectifs dâespionnage stratĂ©gique Ă haute valeur.
đŻ Cibles et objectifs Les cibles principales sont les opĂ©rateurs de tĂ©lĂ©communications et les rĂ©seaux gouvernementaux. Lâobjectif est de positionner des accĂšs persistants et dormants (« sleeper cells ») au cĆur des infrastructures tĂ©lĂ©coms, permettant :
Agenda Ransomware : analyse technique complĂšte des variantes Go, Rust et Linux
Trend Micro publie une analyse technique approfondie du ransomware Agenda, couvrant ses variantes multiplateformes, ses techniques d'attaque avancées et ses alliances avec d'autres groupes criminels.
đą LSA Whisperer BOF : un port Cobalt Strike pour interagir avec LSA sans toucher Ă LSASS
đ Selon lâannonce du projet « LSA Whisperer BOF » (port de lâoutil LSA Whisperer de SpecterOps), ce module apporte aux C2 des capacitĂ©s dâaccĂšs aux paquets...
đ cyberveille :
https://cyberveille.ch/posts/2026-02-22-lsa-whisperer-bof-un-port-cobalt-strike-pour-interagir-avec-lsa-sans-toucher-a-lsass/đ source :
https://github.com/dazzyddos/lsawhisper-bof#Cobalt_Strike #DPAPI #CyberveilleLSA Whisperer BOF : un port Cobalt Strike pour interagir avec LSA sans toucher Ă LSASS
Selon lâannonce du projet « LSA Whisperer BOF » (port de lâoutil LSA Whisperer de SpecterOps), ce module apporte aux C2 des capacitĂ©s dâaccĂšs aux paquets dâauthentification Windows via lâAPI lĂ©gitime LsaCallAuthenticationPackage, sans lecture mĂ©moire ni handle sur LSASS, y compris lorsque PPL et Credential Guard sont activĂ©s.
đ§ CapacitĂ©s principales par module:
MSV1_0: rĂ©cupĂ©ration de clĂ©s DPAPI (classiques et « strong »), gĂ©nĂ©ration de rĂ©ponses NTLMv1 avec dĂ©fi choisi. Kerberos: liste des tickets, dump de tickets (blobs .kirbi en base64 avec clĂ©s de session), purge sĂ©lective par nom de serveur. CloudAP: extraction de cookies SSO (Entra ID/Azure AD, device, AD FS) et informations cloud (statut TGT/DPAPI). đ ïž Architecture et intĂ©gration:
Unit 42 (Palo Alto Networks) détaille l'attaque supply chain contre Notepad++ avec des nouvelles informations techniques
Selon Unit 42 (Palo Alto Networks), entre juin et dĂ©cembre 2025, lâinfrastructure dâhĂ©bergement officielle de Notepad++ a Ă©tĂ© compromise par le groupe Ă©tatique Lotus Blossom, permettant un dĂ©tournement du trafic vers le serveur dâupdate et une distribution sĂ©lective de mises Ă jour malveillantes. Les cibles principales se trouvaient en Asie du Sud-Est (gouvernement, tĂ©lĂ©coms, infrastructures critiques), avec une extension observĂ©e vers lâAmĂ©rique du Sud, les Ătats-Unis et lâEurope sur des secteurs variĂ©s (cloud, Ă©nergie, finance, gouvernement, manufacturing, dĂ©veloppement logiciel). Cette attaque de la chaĂźne dâapprovisionnement sâappuie sur une capacitĂ© AitM pour profiler et filtrer dynamiquement les victimes prioritaires, notamment des administrateurs et dĂ©veloppeurs.
đą OpenMalleableC2 : implĂ©mentation open source du Malleable C2 de Cobalt Strike
đ Selon lâannonce du projet OpenMalleableC2, cette bibliothĂšque open source implĂ©mente le format de profil Malleable C2 de Cobalt Strike pour transformer et transporter des donn...
đ cyberveille :
https://cyberveille.ch/posts/2026-01-29-openmalleablec2-implementation-open-source-du-malleable-c2-de-cobalt-strike/đ source :
https://github.com/CodeXTF2/OpenMalleableC2#C2 #Cobalt_Strike #CyberveilleOpenMalleableC2 : implémentation open source du Malleable C2 de Cobalt Strike
Selon lâannonce du projet OpenMalleableC2, cette bibliothĂšque open source implĂ©mente le format de profil Malleable C2 de Cobalt Strike pour transformer et transporter des donnĂ©es sur HTTP de maniĂšre flexible et transparente.
Le projet vise Ă combler les limites de personnalisation du trafic HTTP observĂ©es dans des frameworks C2 open source existants (comme Mythic, Havoc, Adaptix) en permettant la rĂ©utilisation directe des profils Malleable C2 et de lâĂ©cosystĂšme associĂ©. Il se prĂ©sente comme « framework-agnostic » afin de sâintĂ©grer Ă divers outils de recherche et dâĂ©quipes rouges. đ ïž
đą Cisco Talos dĂ©taille Qilin, un RaaS trĂšs actif en 2025 (40+ victimes/mois)
đ Selon Cisco Talos (blog Talos Intelligence), Qilin figure parmi les rançongiciels les plus actifs en 2025, avec plus de 40 vict...
đ cyberveille :
https://cyberveille.ch/posts/2025-10-27-cisco-talos-detaille-qilin-un-raas-tres-actif-en-2025-40-victimes-mois/đ source :
https://blog.talosintelligence.com/uncovering-qilin-attack-methods-exposed-through-multiple-cases/#Cobalt_Strike #IOC #CyberveilleCisco Talos détaille Qilin, un RaaS trÚs actif en 2025 (40+ victimes/mois)
Selon Cisco Talos (blog Talos Intelligence), Qilin figure parmi les rançongiciels les plus actifs en 2025, avec plus de 40 victimes publiĂ©es par mois. Lâanalyse couvre ses secteurs ciblĂ©s, ses techniques dâintrusion et dâĂ©vasion, ainsi quâune variante Qilin.B optimisĂ©e pour les environnements virtualisĂ©s.
âą PortĂ©e et cibles đŻ
Menace RaaS trĂšs prolifique en 2025 (40+ victimes/mois). Secteurs les plus touchĂ©s : manufacturing (23%), services professionnels (18%), commerce de gros (10%). Zones principalement affectĂ©es : ĂtatsâUnis, Canada, RoyaumeâUni, France, Allemagne. Modus operandi : double extorsion (chiffrement + exfiltration de donnĂ©es), avec dĂ©ploiement de double encryptors pour maximiser lâimpact sur rĂ©seaux et environnements virtualisĂ©s. âą ChaĂźne dâintrusion et vol dâidentifiants đ
CyberVeille.ch