L’article provient de The DFIR Report et décrit une campagne sophistiquée exploitant le SEO poisoning pour distribuer des outils de gestion IT trojanisés, permettant l’installation du malware Bumblebee et du ransomware Akira.
L’attaque commence par des résultats de recherche Bing empoisonnés qui redirigent vers des sites malveillants hébergeant des installateurs MSI trojanisés. Ces fichiers MSI déploient le malware Bumblebee via msimg32.dll en utilisant consent.exe, établissant des communications C2 avec des domaines DGA.
Les attaquants ont utilisé des balises AdaptixC2, créé des comptes de domaine privilégiés, et exfiltré des données via SFTP. Le ransomware Akira a ensuite été déployé, ciblant les partages locaux et réseau.
Les IOCs incluent Bumblebee, Akira, AdaptixC2, et les TTPs incluent l’empoisonnement SEO, l’escalade rapide de privilèges, et la persistance via RustDesk.
Cet article est une analyse technique détaillant les méthodes et l’impact de cette campagne de menace.
🧠 TTPs et IOCs détectés
TTPs
SEO poisoning, DLL side-loading via msimg32.dll and consent.exe, domain generation algorithm (DGA) for C2 communication, use of AdaptixC2, creation of privileged domain accounts, data exfiltration via SFTP, ransomware deployment targeting local and network shares, persistence via RustDesk, rapid privilege escalation
IOCs
Bumblebee, Akira, AdaptixC2
🔗 Source originale : https://thedfirreport.com/2025/08/05/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira/