VIPERTUNNEL : analyse approfondie du backdoor Python SOCKS5 lié à UNC2165/EvilCorp
đ Contexte PubliĂ© le 9 avril 2026 par Evgen Blohm (InfoGuard Labs), cet article est issu dâune investigation de rĂ©ponse Ă incident liĂ©e Ă une attaque DragonForce ransomware. Lors de la revue de persistance, un artefact inhabituel a Ă©tĂ© identifiĂ© : une tĂąche planifiĂ©e nommĂ©e 523135538 exĂ©cutant C:\ProgramData\cp49s\pythonw.exe sans arguments. đ§© MĂ©canisme de persistance et chargement La persistance repose sur sitecustomize.py, un module Python auto-importĂ© au dĂ©marrage. Ce fichier utilise ctypes pour appeler Py_GetArgcArgv et vĂ©rifier le contexte dâexĂ©cution. Si argc == 1, il charge et exĂ©cute b5yogiiy3c.dll (un script Python dĂ©guisĂ© en DLL) via runpy.run_path(). ...