Check Point dévoile l’écosystème « Pure » : ClickFix → Rust Loader → PureHVNC/PureRAT, liens GitHub vers « PureCoder »

Check Point Research publie une analyse technique d’une campagne ClickFix menant à l’infection par PureHVNC RAT et l’usage ultérieur de Sliver, avec un lien direct vers des comptes GitHub opérés par le développeur de la famille de malwares « PureCoder ».

• Chaîne d’infection (8 jours) 🧪/🐀:

  • Accès initial via ClickFix (fausses offres d’emploi) copiant automatiquement une commande PowerShell qui dépose un JavaScript malveillant et crée une persistance (LNK dans Startup, C2 journalier par rotation de domaines).
  • Déploiement de PureHVNC RAT (C2 54.197.141[.]245) avec IDs de campagne « 2a » puis « amazon3 » via un Loader Rust packagé (Inno Setup), persistant par tâche planifiée.
  • Jour 8 : livraison d’un implant Sliver C2 (hxxps://jq-scripts.global.ssl[.]fastly[.]net) exécutant un script PowerShell qui exfiltre des identifiants saisis par l’utilisateur dans un prompt (stockés sous %ProgramData%/__cred.txt).

• Analyse du Rust Loader (évasion/anti-analyses) 🛡️:

  • DLL Rust lancée via regsvr32 (LOLBin), chaînes chiffrées ChaCha20-Poly1305, payload final .NET déchiffré (XOR 32 octets → AES+Gzip) = PureHVNC.
  • Nombreuses détections anti-outillage (process AV/debug/RE), liste d’APIs d’émulation Defender pour détection sandbox; sleep aléatoire si suspicion.
  • Exigence du paramètre « /i:–type=renderer »; bypass AMSI par hook de LdrLoadDll (empêche le chargement d’amsi.dll).
  • Persistance par tâche planifiée mimant « GoogleUpdater » (exécution haute, répétition 1 min) depuis %APPDATA%\Microsoft\SystemCertificates{MALWARE}.

• PureHVNC RAT (config/protocoles/plugins) 🔐:

  • Config sérialisée protobuf, compressée Gzip et Base64 : C2 54.197.141[.]245, ports 443/10443, certificat TLS épinglé, campaign_id « amazon3 », install_path « APPDATA », mutex « aa05be285061 ».
  • Connexion réseau: test socket + envoi 4 octets (04 00 00 00), SSLStream avec vérification du certificat embarqué; compression Gzip en tranches (16 KB > ~1 MB).
  • Télémétrie envoyée: AV installés (WMI), ID bot, domaine/utilisateur/privileges, version OS, idle time, applis ciblées; anti-sandbox par détection caméra (WMI), activité utilisateur et chemin de l’exécutable.
  • Écosystème plugins/commandes riche: HVNC (caché), audio, webcam 🎥, keylogger, remote shell/desktop, reverse proxy (HTTP/SOCKS5), DDOS, .NET code exec, clipper crypto, torrent (seed/leech), gestion fichiers/processus/registre/startup/hosts, etc.

• Attribution infrastructure ↔ « PureCoder » 🔗:

  • Les bots reçoivent 3 URLs GitHub de support (plugins/fonctionnalités, ex. TwitchBot/YoutubeBot). CPR montre que ces URLs sont hardcodées dans le Builder/Panel PureRAT, signant une infrastructure opérée par le développeur et non par un client.
  • Comptes GitHub liés: DFfe9ewf (ex « PURE-CODER-1 ») et testdemo345; commits avec email noreply « 87261126+PURE-CODER-1@users.noreply.github.com », timezone UTC+0300 (plusieurs pays possibles, dont Russie).
  • Découverte d’un PureRAT Builder et d’enums internes PureCrypter (extensions droppers, dossiers d’installation, persistance, méthodes d’injection) révélant les capacités et options d’opération de la suite « Pure ».

• IOCs et TTPs 📌:

  • Fichiers/Hashes: JS initial 85513077AADBE50FE68055F0420DA2E6B97BD30D; 1er PureHVNC E3A79CE291546191A5DDB039B2F9BF523BB9C4FB; 2e PureHVNC (Inno) D340B780194D44EE9B8D32F596B5A13723ABBE1D; Rust Loader 99CBBE5F68D50B79AF8FB748F51794DE137F4FE4; PureHVNC 34EC79AB8A00DC6908874CDF7762756A2DCA4274; PureRAT Builder 17E14B3CCF309FD9B5F7A5068A5CEDDD15FDEA0F.
  • C2/Destinations: 54.197.141[.]245 (PureHVNC); Sliver C2 hxxps://jq-scripts.global.ssl[.]fastly[.]net; JS C2 (rotation): stathub[.]quest, stategiq[.]quest, mktblend[.]monster, dsgnfwd[.]xyz, dndhub[.]xyz.
  • GitHub: hxxps://github[.]com/DFfe9ewf; artefacts: WebDriver.dll 39D3B6BEE5450D82D096AD7BDF4244FCB7B1EB81; chromedriver.exe 2E5050C50D3A8E9F376F0AE9394CF265ED3DCF06; msedgedriver.exe 7B133998E526B3BEE151329171C82CA1837C86F9.
  • Campagnes/Artefacts: campaign_id « 2a », « amazon3 »; tâche planifiée « GoogleUpdaterTaskSystem196.6.2928.90.{FD10B0DF-9A2C-41C2-B9E7-3C3C6F193A83} »; mutex « MistyRoseNavy » (loader) et « aa05be285061 » (RAT); paramètre exigé « /i:–type=renderer ».
  • TTPs: Phishing ClickFix, PowerShell clipboard → JS; regsvr32 (LOLBin) pour DLL; AMSI bypass (hook LdrLoadDll); tâches planifiées pour persistance; TLS pinning; anti-sandbox (WMI camera/idle/APIs Defender); Sliver C2; credential prompt PowerShell; plugins modulaires via registre (données comprimées/inversées).

Il s’agit d’une publication de recherche fournissant une analyse technique détaillée de la famille de malwares « Pure » et des IOC/TTPs associés.

🧠 TTPs et IOCs détectés

TTP

Phishing ClickFix, PowerShell clipboard → JS, regsvr32 (LOLBin) pour DLL, AMSI bypass (hook LdrLoadDll), tâches planifiées pour persistance, TLS pinning, anti-sandbox (WMI camera/idle/APIs Defender), Sliver C2, credential prompt PowerShell, plugins modulaires via registre (données comprimées/inversées)

IOC

JS initial 85513077AADBE50FE68055F0420DA2E6B97BD30D, 1er PureHVNC E3A79CE291546191A5DDB039B2F9BF523BB9C4FB, 2e PureHVNC (Inno) D340B780194D44EE9B8D32F596B5A13723ABBE1D, Rust Loader 99CBBE5F68D50B79AF8FB748F51794DE137F4FE4, PureHVNC 34EC79AB8A00DC6908874CDF7762756A2DCA4274, PureRAT Builder 17E14B3CCF309FD9B5F7A5068A5CEDDD15FDEA0F, 54.197.141.245 (PureHVNC), Sliver C2 hxxps://jq-scripts.global.ssl.fastly.net, JS C2 (rotation): stathub.quest, stategiq.quest, mktblend.monster, dsgnfwd.xyz, dndhub.xyz, hxxps://github.com/DFfe9ewf, WebDriver.dll 39D3B6BEE5450D82D096AD7BDF4244FCB7B1EB81, chromedriver.exe 2E5050C50D3A8E9F376F0AE9394CF265ED3DCF06, msedgedriver.exe 7B133998E526B3BEE151329171C82CA1837C86F9

---

🔗 Source originale : https://research.checkpoint.com/2025/under-the-pure-curtain-from-rat-to-builder-to-coder/?_bhlid=fe65cbd3a279a5e352e66f71a105200b96ed2c0c