L’article publié par Insikt Group le 13 juin 2025 révèle de nouvelles infrastructures associées à GrayAlpha, un acteur de la menace lié au groupe FIN7. Ce groupe utilise des domaines pour la distribution de charges utiles et des adresses IP supplémentaires qui leur sont associées.

Insikt Group a découvert un chargeur PowerShell personnalisé nommé PowerNet, qui décompresse et exécute NetSupport RAT. Un autre chargeur personnalisé, MaskBat, similaire à FakeBat mais obfusqué, a également été identifié. Trois méthodes principales d’infection ont été observées : des pages de mise à jour de navigateur factices, des sites de téléchargement 7-Zip factices, et le système de distribution de trafic TAG-124.

Bien que les trois vecteurs d’infection aient été utilisés simultanément, seules les pages de téléchargement 7-Zip factices étaient encore actives au moment de la rédaction, avec de nouveaux domaines enregistrés aussi récemment qu’en avril 2025. L’analyse de ces sites a permis d’identifier un individu potentiellement impliqué dans l’opération GrayAlpha.

L’article met en avant la nécessité pour les défenseurs de renforcer les listes d’autorisation d’applications et de former les employés à reconnaître les comportements suspects. Il souligne également l’importance de mettre à jour fréquemment les règles de détection pour identifier les infections existantes et passées. Ce rapport constitue une analyse de menace visant à informer sur les tactiques, techniques et procédures de GrayAlpha.

🧠 TTP et IOC détecté

TTP

Utilisation de chargeurs PowerShell personnalisés (PowerNet), utilisation de RAT (NetSupport RAT), obfuscation de chargeurs (MaskBat), infection via des pages de mise à jour de navigateur factices, infection via des sites de téléchargement 7-Zip factices, utilisation d’un système de distribution de trafic (TAG-124)

IOC

Nouveaux domaines enregistrés pour les sites de téléchargement 7-Zip factices, adresses IP associées aux domaines utilisés pour la distribution de charges utiles

🔗 Source originale : https://www.recordedfuture.com/research/grayalpha-uses-diverse-infection-vectors-deploy-powernet-loader-netsupport-rat