Source: Group-IB — Recherche conjointe avec CERT-KG décrivant la campagne « ShadowSilk », active depuis 2023 et toujours en cours (observée jusqu’en juillet 2025), avec liens techniques et infrastructurels à YoroTrooper.
• Vue d’ensemble: ShadowSilk vise principalement les organisations gouvernementales en Asie centrale et APAC (>35 victimes identifiées). Le groupe opère en deux sous‑équipes russo‑ et sino‑phones (développement/accès initial côté russophone, post‑exploitation/collecte côté sinophone). Après une première exposition en janvier 2025, l’infrastructure a été en partie abandonnée puis réactivée en juin 2025 avec de nouveaux bots Telegram. Une image serveur clé des attaquants a été obtenue, révélant TTPs, outils, opérateurs, captures d’écran et tests sur leurs propres machines.
• Outils et capacités: usage combiné de Telegram Bots (C2), PowerShell et frameworks Cobalt Strike et Metasploit pour post‑exploitation; webshells chinois (Godzilla, Behinder); RAT panels achetés sur forums (JRAT, MORF) et un Morf_server servant de relais; proxies (chisel, resocks, rsocx); outils de recon (FOFA, Shodan, fscan, gobuster, dirsearch) et d’attaque web (sqlmap, wpscan). Exploits observés: CVE‑2018‑7600, CVE‑2018‑7602 (Drupal), CVE‑2024‑27956 (plugin WordPress). Un PowerShell d’exfiltration archive des documents récents (doc/xls/pdf/txt/zip) et les envoie sur une infrastructure malveillante.
• Indices d’attribution et opérations: recoupements forts avec YoroTrooper (mêmes URLs tpp.tj, scripts PowerShell/Telegram, IP partagée sur deux campagnes). Preuves d’opérateurs russophones (saisie au clavier en russe, logs Cobalt Strike) et sinophones (captures d’écran, locale chinoise sur VM d’exfiltration, outils chinois). Données exfiltrées mises en vente sur un forum clandestin. Un site gouvernemental tadjik légitime compromis (tpp.tj) a servi de vecteur.
• TTPs clés (MITRE ATT&CK):
- Reconnaissance: scans via FOFA/Shodan/fscan; recherche de cibles gov/WordPress/Drupal.
- Accès initial: spear‑phishing avec archives protégées; exploitation web (Drupalgeddon2, SQLi WP Automatic).
- Exécution: PowerShell et chargement de binaires additionnels; Cobalt Strike/Metasploit.
- Persistance/Élévation: clés d’exécution au logon; PEASS‑ng; activation WDigest; tâches planifiées.
- Accès identifiants: collecte Chrome (fichiers/clé DPAPI), Kiwi/Mimikatz (creds_msv, lsa_dump_secrets, etc.).
- Découverte/Collecte: commandes système, captures écran/webcam/micro; email dumps.
- C2/Proxy: Telegram C2, reverse proxies (chisel, resocks, rsocx), ports non standard.
- Exfiltration: automatisée via PS et sur canal C2.
• IOCs (extrait) 🚩
- Domaines: pweobmxdlboi.com; document.hometowncity.cloud; document.webmailsession.com; mailboxdownload.com; openpdfllc.com; adm-govuz.com; ss.qwadx.com; sss.qwadx.com; inbox.docworldme.com; document.mailboxarea.cloud; auth.allcloudindex.com.
- IPs: 141.98.82.198; 179.60.150.151; 65.38.120.38; 193.124.203.226; 88.214.26.37; 81.19.136.241.
- URLs notables: tpp.tj (site gouvernemental compromis); hxxps://pweobmxdlboi[.]com/iufhtyhgyfugj.php (réception exfiltration).
- Hashes (extrait): 471e1de3e1a7b0506f6492371a687cde4e278ed8; ca12e8975097d1591cda08d095d4af09b05da83f; f385da641f2e506766a42dde81bb0fab13f845ee.
Conclusion: Il s’agit d’une analyse de menace visant à documenter l’infrastructure, les TTPs et les IOCs de ShadowSilk, afin d’éclairer l’ampleur et la continuité de ses campagnes d’exfiltration de données dans la région.
🧠 TTPs et IOCs détectés
TTP
[‘Reconnaissance: scans via FOFA/Shodan/fscan; recherche de cibles gov/WordPress/Drupal.’, ‘Accès initial: spear-phishing avec archives protégées; exploitation web (Drupalgeddon2, SQLi WP Automatic).’, ‘Exécution: PowerShell et chargement de binaires additionnels; Cobalt Strike/Metasploit.’, ‘Persistance/Élévation: clés d’exécution au logon; PEASS-ng; activation WDigest; tâches planifiées.’, ‘Accès identifiants: collecte Chrome (fichiers/clé DPAPI), Kiwi/Mimikatz (creds_msv, lsa_dump_secrets, etc.).’, ‘Découverte/Collecte: commandes système, captures écran/webcam/micro; email dumps.’, ‘C2/Proxy: Telegram C2, reverse proxies (chisel, resocks, rsocx), ports non standard.’, ‘Exfiltration: automatisée via PS et sur canal C2.’]
IOC
{‘domains’: [‘pweobmxdlboi.com’, ‘document.hometowncity.cloud’, ‘document.webmailsession.com’, ‘mailboxdownload.com’, ‘openpdfllc.com’, ‘adm-govuz.com’, ‘ss.qwadx.com’, ‘sss.qwadx.com’, ‘inbox.docworldme.com’, ‘document.mailboxarea.cloud’, ‘auth.allcloudindex.com’], ‘ips’: [‘141.98.82.198’, ‘179.60.150.151’, ‘65.38.120.38’, ‘193.124.203.226’, ‘88.214.26.37’, ‘81.19.136.241’], ‘urls’: [’tpp.tj’, ‘hxxps://pweobmxdlboi[.]com/iufhtyhgyfugj.php’], ‘hashes’: [‘471e1de3e1a7b0506f6492371a687cde4e278ed8’, ‘ca12e8975097d1591cda08d095d4af09b05da83f’, ‘f385da641f2e506766a42dde81bb0fab13f845ee’]}
🔗 Source originale : https://www.group-ib.com/blog/shadowsilk/