Selon Volexity (blog), l’acteur UTA0388, aligné sur la Chine, a mené entre juin et septembre 2025 des campagnes de spear phishing sophistiquées déployant le malware GOVERSHELL, avec un recours présumé aux LLM pour générer du contenu multilingue.

• Contexte et cibles 🎯 UTA0388 cible des organisations en Amérique du Nord, en Asie et en Europe, avec un intérêt marqué pour les enjeux géopolitiques asiatiques, en particulier Taïwan. Les campagnes s’appuient sur des tactiques de « rapport‑building » (création de lien) et montrent des indices d’automatisation par LLM (fabrications absurdes, personas incohérents, ciblage inconsistant).

• Chaîne d’infection et persistance La première phase exploite le « search order hijacking » en utilisant l’exécutable légitime Tablacus Explorer pour charger des DLL malveillantes (DLL side‑loading). La persistance est assurée via des tâches planifiées nécessitant des indicateurs/flags en ligne de commande pour activer la logique de communication C2.

• Variants de GOVERSHELL 🧪

  1. Variante initiale : faux TLS sur le port 465, reverse shell CMD.
  2. TE32 : faux TLS sur 443, chiffrement AES, reverse shell PowerShell.
  3. TE64 : HTTPS POST avec sondage JSON et commandes prédéfinies.
  4. Variante WebSocket : chiffrement AES et architecture en file de tâches.
  5. Variante « Beacon » : HTTPS GET, encodage base64, mécanismes de jitter/sleep. Le malware a évolué du C++ vers Golang, et les C2 sont passés de connexions directes à des domaines hébergés chez Cloudflare.

• Infrastructure, artefacts et empreintes Les domaines C2 suivent des schémas prévisibles (chaînes aléatoires, thématiques “research”, noms d’entreprises génériques). Des chemins développeur en chinois traditionnel et des journaux en chinois suggèrent l’origine des développeurs. Les livraisons abusent de services comme Netlify, Sync et OneDrive.

• Détection et opportunités 🔎

  • Surveiller les téléchargements d’archives depuis Netlify/Sync/OneDrive.
  • Création de tâches planifiées avec flags spécifiques.
  • Chargements suspects de te64.dll/te32.dll par Tablacus Explorer.
  • Connexions sortantes vers l’infrastructure C2 identifiée (hébergement Cloudflare, schémas de domaines typiques).

Il s’agit d’une analyse de menace visant à documenter les campagnes, les capacités de GOVERSHELL et les TTPs d’UTA0388.

🧠 TTPs et IOCs détectés

TTPs

T1566.001 (Spear Phishing Attachment), T1574.001 (DLL Side-Loading), T1053.005 (Scheduled Task), T1573.001 (Non-Standard Port), T1573.002 (Asymmetric Cryptography), T1105 (Ingress Tool Transfer), T1071.001 (Web Protocols), T1071.004 (DNS), T1027 (Obfuscated Files or Information), T1203 (Exploitation for Client Execution), T1021.001 (Remote Services: Remote Desktop Protocol), T1102.001 (Web Services: Dead Drop Resolver)

IOCs

Domain patterns with random strings and ‘research’ themes, domains hosted on Cloudflare, paths with traditional Chinese characters, use of services like Netlify, Sync, and OneDrive for delivery, suspicious loading of te64.dll/te32.dll by Tablacus Explorer

🔗 Source originale : https://www.volexity.com/blog/2025/10/08/apt-meets-gpt-targeted-operations-with-untamed-llms/

🖴 Archive : https://web.archive.org/web/20251008162148/https://www.volexity.com/blog/2025/10/08/apt-meets-gpt-targeted-operations-with-untamed-llms/