Source : Check Point Research — Analyse technique d’actualité sur Rhadamanthys v0.9.2, un infostealer multi-modulaire en évolution, dérivé de Hidden Bee et désormais positionné comme une offre malware-as-a-service avec branding « RHAD security » et abonnements (299–499 $/mois).
La version 0.9.2 montre une forte professionnalisation : mimétisme des messages d’avertissement anti-sandbox de Lumma, global mutex pour éviter les exécutions multiples, empreintes navigateur enrichies et ciblage élargi de portefeuilles de cryptomonnaies. Le modèle économique est affiné (paliers d’abonnement) et l’écosystème modularisé via des plugins Lua.
Sur le plan technique, l’exécution se fait en trois étapes via loaders natifs ou .NET qui chargent des modules au format propriétaire XS. Changements clés : nouveaux formats XS1*B (clé d’import passée à une longueur BYTE et nouvel algorithme de décodage de DLL) et XS2*B (champ de nom de DLL étendu à DWORD), modules référencés par checksum, remplacement de l’obfuscation XOR par RC4 (Étape 3), Bot ID dérivé d’un SHA1 du GUID machine et du numéro de série volume, payloads chiffrés RSA intégrés aux pixels PNG (structure: key_n, key_e, size, hash, data), mutex global généré depuis une seed de configuration (16 octets) hachée avec la magie « XRHY », configuration étendue avec marqueur 0xBEEF et compression LZO. Le runtime Lua supporte des plugins voleurs, dont un nouveau ciblant Ledger Live.
Les capacités d’évasion et anti-analyse incluent : contrôles d’environnement et de matériel (blocklists d’adresses MAC et UUID de sandboxes), vérification de l’origine des fichiers via motifs d’offset déclenchant un MessageBoxW d’avertissement, requêtes NTP pour synchronisation temporelle avant la connexion C2, obfuscation par XOR des packages avec clés aléatoires par exécution, injection de processus dans des binaires Windows légitimes aléatoires (liste configurable), C2 WebSocket avec obfuscation par génération aléatoire de domaines, et fingerprinting JavaScript côté navigateur. La livraison du payload passe du WAV stéganographique au PNG.
IOCs et TTPs observés:
- TTPs:
- Infostealer multi-étapes avec loaders natifs/.NET et shellcode vers modules XS
- Formats propriétaires XS1B / XS2B, modules référencés par checksum
- Obfuscation RC4 (chaînes) et XOR (packages, clé aléatoire par exécution)
- Injection de processus dans des processus Windows légitimes choisis aléatoirement
- C2 WebSocket avec obfuscation par génération aléatoire de domaines
- Anti-sandbox: blocklists MAC/UUID, mimétisme des avertissements Lumma, MessageBoxW
- Anti-analyse: vérification origine fichier par motifs d’offset, requêtes NTP avant C2
- Fingerprinting: collecte JavaScript côté navigateur
- Ciblage crypto: multiples wallets, nouveau module pour Ledger Live
- Artefacts/indicateurs techniques:
- Magic/marqueurs: « XRHY » (génération de mutex), 0xBEEF (configuration)
- Structure de payload PNG: champs key_n, key_e, size, hash, data
- Bot ID: SHA1(GUID machine + volume serial)
- Formats exécutables: signatures XS1*B et XS2*B
Conclusion: publication d’analyse de menace détaillant l’évolution, les mécanismes d’évasion et l’architecture modulaire de Rhadamanthys v0.9.2, mettant en avant sa maturité technique et sa viabilité sur le marché criminel 🕵️♂️.
🧠 TTPs et IOCs détectés
TTPs
[‘Infostealer multi-étapes avec loaders natifs/.NET et shellcode vers modules XS’, ‘Formats propriétaires XS1B / XS2B, modules référencés par checksum’, ‘Obfuscation RC4 (chaînes) et XOR (packages, clé aléatoire par exécution)’, ‘Injection de processus dans des processus Windows légitimes choisis aléatoirement’, ‘C2 WebSocket avec obfuscation par génération aléatoire de domaines’, ‘Anti-sandbox: blocklists MAC/UUID, mimétisme des avertissements Lumma, MessageBoxW’, ‘Anti-analyse: vérification origine fichier par motifs d’offset, requêtes NTP avant C2’, ‘Fingerprinting: collecte JavaScript côté navigateur’, ‘Ciblage crypto: multiples wallets, nouveau module pour Ledger Live’]
IOCs
[‘Magic/marqueurs: « XRHY » (génération de mutex), 0xBEEF (configuration)’, ‘Structure de payload PNG: champs key_n, key_e, size, hash, data’, ‘Bot ID: SHA1(GUID machine + volume serial)’]
🔗 Source originale : https://research.checkpoint.com/2025/rhadamanthys-0-9-x-walk-through-the-updates/