Cet article de cybersecurity-blog met en lumière une nouvelle menace cybernétique orchestrée par le groupe parrainé par l’État nord-coréen, Famous Chollima, une sous-division du groupe Lazarus.

PyLangGhost RAT, une évolution en Python de GoLangGhostRAT, est déployé via des campagnes de social engineering sophistiquées, notamment des faux entretiens d’embauche et des scénarios ‘ClickFix’. Ce malware cible spécifiquement les secteurs de la technologie, de la finance et des cryptomonnaies.

Le RAT est conçu pour voler des données de portefeuille de cryptomonnaie et des identifiants de navigateur, tout en établissant un accès à distance persistant. Bien que les taux de détection soient faibles (0-3 sur VirusTotal), des outils d’analyse comportementale peuvent identifier la menace grâce à ses schémas de communication et ses chaînes d’exécution.

Techniquement, PyLangGhost RAT comprend plusieurs modules Python (nvidia.py, config.py, api.py, command.py, util.py, auto.py) qui assurent la persistance, la communication C2, l’exécution de commandes et le vol d’identifiants. La communication se fait via des adresses IP brutes avec un chiffrement RC4/MD5 faible, sans TLS.

Cet article est une analyse de menace qui vise à informer les professionnels de la cybersécurité des nouvelles tactiques et outils utilisés par des acteurs malveillants soutenus par des États.

🧠 TTPs et IOCs détectés

TTPs

T1566.002 (Spearphishing Link), T1059.006 (Command and Scripting Interpreter: Python), T1071.001 (Application Layer Protocol: Web Protocols), T1078 (Valid Accounts), T1105 (Ingress Tool Transfer), T1027 (Obfuscated Files or Information), T1055 (Process Injection), T1571 (Non-Standard Port), T1078.003 (Valid Accounts: Local Accounts), T1547 (Boot or Logon Autostart Execution), T1555.003 (Credentials from Web Browsers), T1560.001 (Archive Collected Data: Archive via Utility), T1021.001 (Remote Services: Remote Desktop Protocol), T1090 (Proxy), T1573.001 (Encrypted Channel: Symmetric Cryptography)

IOCs

nvidia.py, config.py, api.py, command.py, util.py, auto.py

🔗 Source originale : https://any.run/cybersecurity-blog/pylangghost-malware-analysis/