Source: viuleeenz.github.io — L’auteur détaille une méthodologie de chasse aux menaces à partir d’un unique IOC issu d’un article de Unit42 sur le malware Gremlin Stealer, en s’appuyant sur VirusTotal pour relier des échantillons, extraire des indicateurs et monter en généralité sans recourir lourdement au reversing.

L’analyse combine indicateurs statiques et comportementaux pour relier des échantillons: horodatage futur (2041-06-29 19:48:00 UTC), marque/copyright trompeurs (“LLC ‘Windows’ & Copyright © 2024”), et métadonnées .NET comme MVID et TypeLib ID pour le clustering. L’auteur souligne que si les caractéristiques statiques sont faciles à modifier, les contraintes comportementales le sont moins et constituent des pivots plus robustes.

Côté comportement, l’exécution sandbox révèle des empreintes réseau: IP discovery via api.ipify.org et ip-api.com, exfiltration via l’API Telegram (api.telegram.org/bot) et un C2 durcodé (207.244.199[.]46). Le stealer cible plusieurs navigateurs Chromium et utilise le remote debugging (port 9222) pour extraire des données des profils navigateurs. Ces éléments servent à enrichir les pivots et élargir la collecte de variants corrélés.

L’auteur illustre des requêtes VirusTotal (horodatage généré, signature/copyright, netguid/MVID, motif de commande Chromium) pour découvrir et valider de nouveaux échantillons, puis compare code et APIs importées afin de confirmer les liens (mêmes fonctions, noms et blocs de code). Une règle YARA est proposée, centrée sur des chaînes uniques, des identifiants .NET (MVID/TypeLib) et des dépendances DLL, avec des garde-fous (PE, taille < 500KB) — en reconnaissant les compromis entre couverture et faux positifs.

Sur l’infrastructure, en partant de 207.244.199[.]46, l’auteur pivote via Urlscan et Validin pour identifier un panneau de contrôle Gremlin Stealer, extraire contenu/DOM/icônes et en dériver des pivots (hash d’actifs, titre d’hôte). Plusieurs IPs partageant le même titre de panneau sont découvertes, suggérant une infrastructure plus large. L’article est une analyse de menace didactique visant à démontrer une méthode reproductible de chasse de « un IOC » vers un corpus complet d’IOCs et d’assets.

• IOCs:

  • C2/IPs liés (panneaux et C2): 207.244.199[.]46 (C2), 138.124.60[.]33, 217.119.129[.]92, 159.65.7[.]52
  • Endpoints/Domaines: api.ipify.org, ip-api.com, api.telegram.org/bot
  • SHA-256 (Gremlin Stealer): d1ea7576611623c6a4ad1990ffed562e8981a3aa209717065eddc5be37a76132, 32d081039285eed1fb97dc814da1a97dac9d6efcf5827326067ca0ba2130de05, 971198ff86aeb42739ba9381923d0bc6f847a91553ec57ea6bae5becf80f8759, 598ba6b9bdb9dcc819e92c10d072ce93c464deaa0a136c4a097eb706ef60d527, 01dc8667fd315640abf59efaabb174ac48554163aa1a21778f85b31d4b65c849, 7458cb50adfcce50931665eae6bd9ce81324bc0b70693e550e861574cb0eb365, 208ecca5991d25cc80e4349ce16c9d5a467b10dedcb81c819b6bc28901833ea9, 7ed4eea56c2c96679447cc7dfc8c4918f4f7be2b7ba631bc468e8a180414825a, 8202ba2d361e6507335a65ccc250e01c2769ed22429e25d08d096cd46a6619ff, 281b970f281dbea3c0e8cfc68b2e9939b253e5d3de52265b454d8f0f578768a2, a9f529a5cbc1f3ee80f785b22e0c472953e6cb226952218aecc7ab07ca328abd, 9aab30a3190301016c79f8a7f8edf45ec088ceecad39926cfcf3418145f3d614, ab0fa760bd037a95c4dee431e649e0db860f7cdad6428895b9a399b6991bf3cd, d11938f14499de03d6a02b5e158782afd903460576e9227e0a15d960a2e9c02c, 691896c7be87e47f3e9ae914d76caaf026aaad0a1034e9f396c2354245215dc3
  • Identifiants .NET: MVID 8f855bb2-4718-4fa4-be9c-87ed0b588b5c; TypeLib ID 7c11697d-caad-4bae-8b2a-0e331680a53b; chaîne de signature “LLC ‘Windows’ & Copyright © 2024”

• TTPs (extraits):

  • Découverte d’IP publique et profilage géo (api.ipify.org, ip-api.com)
  • Exfiltration via Telegram bot API
  • C2 durcodé et panneaux de contrôle dédiés
  • Vol de données navigateurs Chromium via remote debugging (port 9222)
  • Anti-analyse: horodatage futur; usurpation de marque/copyright Microsoft; utilisation de métadonnées .NET pour persistance d’empreintes

🧠 TTPs et IOCs détectés

TTP

[‘Découverte d’IP publique et profilage géo (api.ipify.org, ip-api.com)’, ‘Exfiltration via Telegram bot API’, ‘C2 durcodé et panneaux de contrôle dédiés’, ‘Vol de données navigateurs Chromium via remote debugging (port 9222)’, ‘Anti-analyse: horodatage futur; usurpation de marque/copyright Microsoft; utilisation de métadonnées .NET pour persistance d’empreintes’]

IOC

{‘hash’: [‘d1ea7576611623c6a4ad1990ffed562e8981a3aa209717065eddc5be37a76132’, ‘32d081039285eed1fb97dc814da1a97dac9d6efcf5827326067ca0ba2130de05’, ‘971198ff86aeb42739ba9381923d0bc6f847a91553ec57ea6bae5becf80f8759’, ‘598ba6b9bdb9dcc819e92c10d072ce93c464deaa0a136c4a097eb706ef60d527’, ‘01dc8667fd315640abf59efaabb174ac48554163aa1a21778f85b31d4b65c849’, ‘7458cb50adfcce50931665eae6bd9ce81324bc0b70693e550e861574cb0eb365’, ‘208ecca5991d25cc80e4349ce16c9d5a467b10dedcb81c819b6bc28901833ea9’, ‘7ed4eea56c2c96679447cc7dfc8c4918f4f7be2b7ba631bc468e8a180414825a’, ‘8202ba2d361e6507335a65ccc250e01c2769ed22429e25d08d096cd46a6619ff’, ‘281b970f281dbea3c0e8cfc68b2e9939b253e5d3de52265b454d8f0f578768a2’, ‘a9f529a5cbc1f3ee80f785b22e0c472953e6cb226952218aecc7ab07ca328abd’, ‘9aab30a3190301016c79f8a7f8edf45ec088ceecad39926cfcf3418145f3d614’, ‘ab0fa760bd037a95c4dee431e649e0db860f7cdad6428895b9a399b6991bf3cd’, ‘d11938f14499de03d6a02b5e158782afd903460576e9227e0a15d960a2e9c02c’, ‘691896c7be87e47f3e9ae914d76caaf026aaad0a1034e9f396c2354245215dc3’], ‘domaine’: [‘api.ipify.org’, ‘ip-api.com’, ‘api.telegram.org’], ‘ip’: [‘207.244.199.46’, ‘138.124.60.33’, ‘217.119.129.92’, ‘159.65.7.52’]}

🔗 Source originale : https://viuleeenz.github.io/posts/2025/08/from-one-to-many-one-ioc-to-hunt-them-all/