Source : Microsoft Threat Intelligence. Dans une analyse technique, Microsoft décrit PipeMagic, un backdoor hautement modulaire attribué à l’acteur financier Storm-2460, observé dans des chaînes d’attaque exploitant la vulnérabilité d’élévation de privilèges Windows CLFS CVE-2025-29824 pour déployer du ransomware, avec des cibles dans l’IT, la finance et l’immobilier aux États-Unis, en Europe, en Amérique du Sud et au Moyen-Orient.
🧩 Architecture et furtivité. PipeMagic se fait passer pour une application ChatGPT Desktop open source trojanisée. Il charge dynamiquement des modules, maintient une communication C2 via un module réseau dédié et orchestre ses capacités via des listes doublement chaînées distinctes (payload, execute, network, unknown). L’IPC chiffrée via named pipes et la modularité rendent détection et analyse plus difficiles.
🛠️ Chaîne d’infection. Microsoft a observé l’usage de certutil pour télécharger depuis un site légitime compromis un payload MSBuild malveillant qui droppe et exécute PipeMagic en mémoire. Une fois actif, le backdoor déclenche l’exploit CLFS (CVE-2025-29824) pour l’élévation de privilèges, puis le ransomware est lancé. Le premier étage est un dropper en mémoire basé sur un projet ChatGPT Desktop modifié pour déchiffrer et exécuter une charge utile embarquée.
🌐 C2 et fonctionnalités. Le backdoor délègue la communication au module réseau (données embarquées, déchiffrées par XOR puis décompressées aPLib), qui initie une connexion TCP et envoie une requête HTTP Upgrade WebSocket vers un domaine Azure. Le backdoor collecte ensuite des informations système détaillées (ID bot, OS, nom machine, PID, domaine, intégrité, IP, répertoires, états des listes execute/unknown) et traite des commandes C2 permettant la gestion fine des modules (insertion, remplacement, suppression, lecture/écriture avec RC4 et aPLib selon attributs), liage/exec de modules via la liste execute, énumération des processus, échos, et arrêt des communications.
🧾 IOCs et TTPs
- IOCs
- Domaine C2 : aaaaabbbbbbb.eastus.cloudapp.azure[.]com:443 (désactivé par Microsoft)
- SHA-256 dropper en mémoire (ChatGPT Desktop trojanisé) : dc54117b965674bad3d7cd203ecf5e7fc822423a3f692895cf5e96e83fb88f6a
- SHA-256 backdoor (unpacked en mémoire) : 4843429e2e8871847bc1e97a0f12fa1f4166baa4735dff585cb3b4736e3fe49e
- SHA-256 module réseau (unpacked en mémoire) : 297ea881aa2b39461997baf75d83b390f2c36a9a0a4815c81b5cf8be42840fd1
- TTPs clés
- Déguisement en appli open source légitime (ChatGPT Desktop)
- Téléchargement via certutil depuis site compromis; exécution MSBuild; exécution en mémoire
- Élévation de privilèges via CVE-2025-29824 (CLFS) puis déploiement de ransomware
- IPC via named pipes et chiffrement RC4; compression aPLib; données réseau XOR
- HTTP Upgrade WebSocket vers domaine Azure; gestion modulaire via listes doublement chaînées
Il s’agit d’une analyse technique visant à exposer l’architecture interne de PipeMagic pour aider les défenseurs à détecter, analyser et répondre à cette menace, et à perturber l’outillage de l’adversaire.
🧠 TTPs et IOCs détectés
TTP
[‘Déguisement en appli open source légitime (ChatGPT Desktop)’, ‘Téléchargement via certutil depuis site compromis’, ‘Exécution MSBuild’, ‘Exécution en mémoire’, ‘Élévation de privilèges via CVE-2025-29824 (CLFS)’, ‘Déploiement de ransomware’, ‘IPC via named pipes’, ‘Chiffrement RC4’, ‘Compression aPLib’, ‘Données réseau XOR’, ‘HTTP Upgrade WebSocket vers domaine Azure’, ‘Gestion modulaire via listes doublement chaînées’]
IOC
{‘domaine’: ‘aaaaabbbbbbb.eastus.cloudapp.azure[.]com:443’, ‘hashes’: [‘dc54117b965674bad3d7cd203ecf5e7fc822423a3f692895cf5e96e83fb88f6a’, ‘4843429e2e8871847bc1e97a0f12fa1f4166baa4735dff585cb3b4736e3fe49e’, ‘297ea881aa2b39461997baf75d83b390f2c36a9a0a4815c81b5cf8be42840fd1’]}
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/08/18/dissecting-pipemagic-inside-the-architecture-of-a-modular-backdoor-framework/