Selon Sophos (Sophos News), des chercheurs publient une analyse approfondie de HeartCrypt, une opération de packer-as-a-service active à l’international qui cible des organisations via des campagnes localisées et des chaînes d’infection sophistiquées.
• Portée et infrastructure 🛰️ L’étude couvre des milliers d’échantillons, près de 1 000 serveurs C2 et plus de 200 éditeurs de logiciels usurpés. HeartCrypt opère dans plusieurs pays avec des campagnes d’hameçonnage adaptées localement et a été relié à des opérations de rançongiciel dont RansomHub et MedusaLocker.
• Mécanisme et évasion 🧬 Le packer injecte du code position-indépendant (PIC) dans la section .text d’exécutables légitimes en remplaçant le point d’entrée (OEP). Le code est fortement obfusqué (centaines de sauts/appels directs), implémente des anti-émulations (tentatives de chargement de DLL inexistantes) et chiffre les charges utiles via XOR avec des clés de caractères ASCII. Les payloads sont stockés en ressources bitmap déguisées.
• Charges utiles et persistance 🐀 Les charges observées incluent AsyncRAT, Lumma Stealer, Rhadamanthys et des outils AVKiller. La persistance est établie via des clés Run du registre et la création de copies gonflées des binaires (jusqu’à ~950 Mo) dans les répertoires utilisateurs.
• Vecteurs d’infection 🎣 Les vecteurs identifiés comprennent le DLL sideloading, des e-mails de phishing avec archives protégées par mot de passe hébergées sur Google Drive, ainsi que des chaînes de téléchargement PowerShell.
• IOCs et TTPs observés
- Familles/payloads : AsyncRAT, Lumma Stealer, Rhadamanthys, AVKiller
- Infrastructure : près de 1 000 serveurs C2; >200 éditeurs de logiciels usurpés
- Persistance : clés Run du registre; copies gonflées (~950 Mo) dans les profils utilisateurs
- Techniques : injection PIC dans .text avec OEP overwrite, obfuscation lourde, anti-émulation (chargement de DLL inexistantes), XOR (clés ASCII), payloads en ressources bitmap, DLL sideloading, phishing (archives protégées, Google Drive), PowerShell pour la récupération
Il s’agit d’une publication de recherche décrivant en détail une opération de packer-as-a-service et ses chaînes d’infection, avec un objectif de documentation et d’analyse de menace.
🔗 Source originale : https://news.sophos.com/en-us/2025/09/26/heartcrypts-wholesale-impersonation-effort/