Source et contexte — IBM X-Force publie une analyse technique de « QuirkyLoader », observé depuis novembre 2024, un nouveau loader employé pour déposer des charges additionnelles sur des hôtes déjà compromis. L’article détaille la chaîne d’infection, les techniques d’évasion, les familles livrées, la victimologie récente (Taïwan, Mexique) et des indicateurs d’infraction associés.

Chaîne d’infection — La campagne débute par des e‑mails de spam contenant une archive malveillante. Celle‑ci regroupe un exécutable légitime, un payload chiffré (déguisé en DLL) et un module DLL loader. L’acteur exploite le DLL side‑loading: l’exécutable légitime charge la DLL malveillante, qui lit et déchiffre la charge, puis l’injecte dans un processus cible. Le module DLL est systématiquement écrit en C# .NET et compilé en Ahead‑of‑Time (AOT), produisant un binaire natif qui ressemble à du C/C++. Un variant noté utilise le chiffre Speck‑128 en mode CTR pour générer un keystream (opérations ARX) et déchiffrer le payload par XOR en blocs de 16 octets.

Évasion et injection — Pour échapper à la détection, le malware résout dynamiquement les APIs Win32 nécessaires au process hollowing. Il crée un processus suspendu (CreateProcessW), démappe sa mémoire (ZwUnmapViewOfSection), écrit le payload (ZwWriteVirtualMemory), règle le contexte (SetThreadContext/Wow64SetThreadContext) et reprend l’exécution (ResumeThread). Les appels cités incluent notamment: CreateProcessW, OpenProcess, TerminateProcess, CloseHandle, GetThreadContext/Wow64GetThreadContext, SetThreadContext/Wow64SetThreadContext, ResumeThread, VirtualAllocEx, VirtualProtectEx, FlushInstructionCache, ReadProcessMemory, ZwUnmapViewOfSection, ZwWriteVirtualMemory. Les processus cibles pour le hollowing observés sont: AddInProcess32.exe, InstallUtil.exe, aspnet_wp.exe.

Victimologie, familles et IOCs — En juillet 2025, deux campagnes sont relevées: Taïwan (ciblant des employés de Nusoft Taiwan, livraison de Snake Keylogger) et Mexique (ciblage aléatoire, livraison de Remcos RAT et AsyncRAT). QuirkyLoader est utilisé par plusieurs familles connues: Agent Tesla, AsyncRAT, FormBook, MassLogger, Remcos, Rhadamanthys, Snake Keylogger. IOCs réseau liés à l’infrastructure de malspam:

  • 🌐 Domaines: catherinereynolds[.]info, mail[.]catherinereynolds[.]info
  • 🧭 IPs: 157[.]66[.]225[.]11; 103[.]75[.]77[.]90; 161[.]248[.]178[.]212

Recommandations (de la publication) — Bloquer les messages avec pièces jointes exécutables; éviter d’ouvrir des e‑mails inattendus; éviter les fichiers provenant de sources non fiables; maintenir les produits de sécurité à jour et correctement configurés; surveiller et inspecter le trafic réseau sortant (charges finales étant typiquement infostealers et RATs); surveiller de près le comportement de AddInProcess32.exe, InstallUtil.exe, aspnet_wp.exe.

Conclusion — Il s’agit d’une analyse de menace par IBM X-Force documentant un nouveau loader (QuirkyLoader), ses techniques, ses cibles et ses IOCs, afin de soutenir la détection et la réponse.

🧠 TTPs et IOCs détectés

TTP

[‘T1204.002 - User Execution: Malicious File’, ‘T1574.002 - Hijack Execution Flow: DLL Side-Loading’, ‘T1055.012 - Process Injection: Process Hollowing’, ‘T1027 - Obfuscated Files or Information’, ‘T1140 - Deobfuscate/Decode Files or Information’, ‘T1562.001 - Impair Defenses: Disable or Modify Tools’, ‘T1105 - Ingress Tool Transfer’]

IOC

{‘domains’: [‘catherinereynolds[.]info’, ‘mail[.]catherinereynolds[.]info’], ‘ips’: [‘157[.]66[.]225[.]11’, ‘103[.]75[.]77[.]90’, ‘161[.]248[.]178[.]212’]}

🔗 Source originale : https://www.ibm.com/think/x-force/ibm-x-force-threat-analysis-quirkyloader