Selon Unit 42 (Palo Alto Networks), cette étude applique leur Attribution Framework pour relier de façon probante la famille de malware Bookworm au groupe APT chinois Stately Taurus, avec un score de confiance de 58,4 (système Admiralty).
Les chercheurs décrivent Bookworm, un RAT modulaire actif depuis 2015, comme un outil clé des opérations de cyberespionnage de Stately Taurus visant des entités gouvernementales et commerciales en Europe et en Asie. L’attribution s’appuie sur une analyse combinant artefacts du malware, chevauchements d’infrastructure, schémas opérationnels et victimologie.
Parmi les preuves techniques saillantes figurent des chemins PDB partagés entre Bookworm et le malware ToneShell, un chevauchement d’infrastructure C2 (adresses IP), ainsi qu’une utilisation constante de techniques de chargement de shellcode basées sur UUID. Ces éléments, agrégés et scorés via le système Admiralty, soutiennent l’attribution au niveau « haute confiance ».
Côté capacités, Bookworm présente une architecture modulaire permettant l’exécution de commandes à distance, la manipulation de fichiers et l’exfiltration de données. Les campagnes observées utilisent typiquement le spear‑phishing pour la livraison et l’exécution via DLL sideloading pour l’établissement et la persistance.
IOC et TTPs 📌
- IOCs:
- IP C2: 103.27.202.68
- IP C2: 103.27.202.87
- Chemin PDB partagé: “C:\Users\hack\Documents\WhiteFile\LTDIS13n\Release\LTDIS13n.pdb”
- Malwares associés: Bookworm, ToneShell
- TTPs:
- Livraison par spear‑phishing
- DLL sideloading
- Chargement de shellcode basé sur UUID
- RAT modulaire avec exécution de commandes, manipulation de fichiers, exfiltration
Type et but: Il s’agit d’une analyse de menace présentant un cas d’attribution visant à démontrer, preuves à l’appui, le lien entre Bookworm et Stately Taurus.
🧠 TTPs et IOCs détectés
TTPs
Livraison par spear-phishing, DLL sideloading, Chargement de shellcode basé sur UUID, RAT modulaire avec exécution de commandes, manipulation de fichiers, exfiltration
IOCs
IP C2: 103.27.202.68, IP C2: 103.27.202.87, Chemin PDB partagé: C:\Users\hack\Documents\WhiteFile\LTDIS13n\Release\LTDIS13n.pdb
🔗 Source originale : https://unit42.paloaltonetworks.com/bookworm-to-stately-taurus/
🖴 Archive : https://web.archive.org/web/20250925095405/https://unit42.paloaltonetworks.com/bookworm-to-stately-taurus/