Source: Huntress (billet de blog). Contexte: Huntress explique qu’un acteur de menace a lancé un essai et installé l’agent EDR sur sa propre machine, permettant à l’équipe SOC d’observer directement ses activités et d’alimenter des détections, tout en rappelant le cadre de transparence et de confidentialité associé à la télémétrie EDR.

Huntress a identifié que l’hôte était malveillant en corrélant un nom de machine déjà vu sur plusieurs incidents et des signaux de comportement suspect. L’analyse a relié l’infrastructure primaire de l’adversaire (hébergée sur l’AS « 12651980 CANADA INC. », désormais VIRTUO) à un schéma d’accès touchant plus de 2 471 identités sur deux semaines, avec des activités incluant la création de règles mail malveillantes et le vol/rafraîchissement de tokens de session. Des chasses rétroactives ont aussi révélé 20 identités compromises supplémentaires, plusieurs déjà accédées avant le déploiement de Huntress.

Les historiques Chrome et la télémétrie ont montré une forte intégration de l’IA et de l’automatisation (Make.com avec bots Telegram et webhooks) pour accélérer la prospection, la génération de contenus et de données (Toolbaz, DocsBot AI, Explo AI), ainsi qu’une focalisation sur des recherches de cibles (banques, fintech/crypto, écosystèmes de prestataires via BuiltWith) et des scrapers (Apify, Axiom, RapidAPI). L’adversaire a cherché des instances actives d’Evilginx via Censys, manifesté un intérêt pour STYX Market (logs de stealer, comptes VoIP, SIM), et utilisé Google Translate pour préparer des messages liés à des banques (notamment au Brésil).

Côté outillage, l’acteur a consulté/essayé des outils de recon/attaque (GraphSpy, BloodHound, TeamFiltration), utilisé un navigateur anti-détection (Nstbrowser) et des proxys résidentiels (LunaProxy) pour masquer l’origine et limiter les alertes de connexion. Il s’est intéressé à WHFB/Entra ID et aux Primary Refresh Tokens (PRT), testant ROADtools Token eXchange (roadtx) et scripts associés après lecture d’analyses techniques (Dirk-jan Mollema). Un nom de projet « Voltage_Office356bot » (sic) apparaît dans Make.com. Huntress note également des éléments suggérant un possible « jump box » multi-opérateurs, sans preuve concluante.

Chronologiquement (mai–juillet 2025), l’activité s’étend sur des journées de 12–14 heures, avec des pics sur les secteurs bancaires (y compris un focus régional sur le Nigeria fin mai), de la recherche d’infrastructure d’attaque, des essais d’outils sécurité, et des interactions poussées avec le portail Huntress lors de l’essai. Une session détaillée du 9 juillet illustre l’accès à des fichiers de cookies de victimes via Notepad++, l’activation de proxys/navigateur anti-détection, des vérifications d’IP, des tentatives d’usage de roadtx et d’un script Python visant les PRT/WHFB.

IOCs et TTPs observés

  • IOCs/artefacts: domaine login.incipientcroop[.]com; AS « 12651980 CANADA INC. (VIRTUO) »; outils/execs: Nstbrowser.exe, LunaProxyDivert.exe; projets: « Voltage_Office356bot »; accès à fichiers Cookies_[victim]@…json; usage d’urlscan.io et ipinfo.io.
  • TTPs: recon via Censys, BuiltWith, Google; phishing/crafting multilingue via Google Translate; automatisation IA (Make.com, bots Telegram, générateurs CSV/texte); recherche/usage d’Evilginx; vol et rafraîchissement de tokens de session/PRT (ROADtools/roadtx, WHFB/Entra ID); proxys résidentiels et navigateur anti-détection; exploration de marchés clandestins (STYX); utilisation d’outils de recon/latéralisation/exfiltration (GraphSpy, BloodHound, TeamFiltration).

Cet article est une analyse de menace didactique visant la transparence et le partage de renseignement opérationnel, en s’appuyant sur la télémétrie EDR collectée lors d’un essai initié par l’acteur lui-même.

🧠 TTPs et IOCs détectés

TTP

Reconnaissance via Censys, BuiltWith, Google; phishing/crafting multilingue via Google Translate; automatisation IA (Make.com, bots Telegram, générateurs CSV/texte); recherche/usage d’Evilginx; vol et rafraîchissement de tokens de session/PRT (ROADtools/roadtx, WHFB/Entra ID); proxys résidentiels et navigateur anti-détection; exploration de marchés clandestins (STYX); utilisation d’outils de recon/latéralisation/exfiltration (GraphSpy, BloodHound, TeamFiltration).

IOC

Domaine: login.incipientcroop[.]com; AS: 12651980 CANADA INC. (VIRTUO); Outils/execs: Nstbrowser.exe, LunaProxyDivert.exe; Projets: Voltage_Office356bot; Accès à fichiers: Cookies_[victim]@…json; Usage d’urlscan.io et ipinfo.io.

🔗 Source originale : https://www.huntress.com/blog/rare-look-inside-attacker-operation