Selon Infoblox (blog Threat Intelligence), des chercheurs décrivent l’acteur « Detour Dog » qui opère depuis février 2020 un vaste réseau d’environ 30 000 sites compromis sur 584 TLDs, utilisant des enregistrements DNS TXT comme canal de commande et contrôle (C2). D’abord dédié aux redirections vers des arnaques, l’opération s’est transformée pour distribuer des malwares, notamment Strela Stealer, via un système de livraison basé sur le DNS. Les requêtes DNS côté serveur, invisibles pour les visiteurs, conditionnent des redirections ou l’exécution de code distant selon la localisation et le type d’appareil. L’infrastructure s’appuie sur du bulletproof hosting et plusieurs TDS pour la persistance, et se reconstitue en quelques heures après perturbation.
Sur le plan technique, Detour Dog formate les requêtes côté serveur en «
Dans les campagnes Strela Stealer (ciblant notamment l’Allemagne), le dispositif opère en multi-étapes: l’ouverture de pièces jointes SVG malveillantes amène les sites infectés à interroger le C2 avec des identifiants comme « nwuuscript+{random} », recevant des URLs C2 Strela (endpoints « script.php »). Le site compromis télécharge ensuite le backdoor StarFish via curl et le renvoie au client, qui poursuit avec des requêtes « nwuufile » pour récupérer d’autres charges. Cette architecture fait du DNS à la fois un canal de commande et un vecteur de livraison, en utilisant les sites compromis comme relais pour masquer les sources réelles.
Des données de sinkhole ont relevé 39 millions de requêtes en 48 heures, avec un volume important de trafic bot et des IPs peu compatibles avec une activité humaine, suggérant des mécanismes d’automatisation. L’infrastructure de Detour Dog a été centrale dans ces campagnes Strela, avec 69% des hôtes de staging identifiés sous leur contrôle. L’acteur utilise des identifiants de suivi uniques (cid) sur plusieurs TDS (Los Pollos, Help TDS, Monetizer), et ses opérations remontent à février 2020 sous l’affiliate id Los Pollos bt1k60t.
IOCs observables (extraits/patterns):
- Patterns de requêtes DNS TXT C2: «
. . . .c2domain » - Réponses TXT Base64: URLs de redirection « https://<redirector_domain>/?<alphanumeric_string> »
- Commandes d’exécution: préfixe « down » → « downhttp://
» - Identifiants de campagne: « nwuuscript+{random} », « nwuufile »
- Endpoints Strela: « script.php »
TTPs (MITRE ATT&CK, concepts):
- Usage du DNS comme canal C2 (DNS TXT data exfil/C2)
- Server-side DNS queries et redirection conditionnelle (géoloc/appareil)
- Livraison en plusieurs étapes via SVG malveillants et relais HTTP
- Téléchargement/Exécution via curl depuis sites compromis
- Bulletproof hosting, TDS multiples (Los Pollos, Help TDS, Monetizer)
- Résilience et reconstruction rapide de l’infra C2
Type d’article: analyse de menace visant à documenter l’infrastructure, les techniques et la portée opérationnelle de Detour Dog.
🧠 TTPs et IOCs détectés
TTPs
[‘T1071.004 - Application Layer Protocol: DNS’, ‘T1090 - Proxy’, ‘T1105 - Ingress Tool Transfer’, ‘T1568.002 - Dynamic Resolution: Domain Generation Algorithms’, ‘T1573 - Encrypted Channel’, ‘T1027 - Obfuscated Files or Information’, ‘T1203 - Exploitation for Client Execution’, ‘T1070.004 - Indicator Removal on Host: File Deletion’, ‘T1583.006 - Acquire Infrastructure: Web Services’, ‘T1584.006 - Compromise Infrastructure: Web Services’]
IOCs
[’
🔗 Source originale : https://blogs.infoblox.com/threat-intelligence/detour-dog-dns-malware-powers-strela-stealer-campaigns/