Source: PolySwarm (blog). Contexte: billet de recherche présentant la campagne « EvilAI » et ses techniques d’intrusion, de persistance et d’exfiltration.
EvilAI est une campagne de malware JavaScript généré par IA, livré comme de fausses applications de productivité avec signatures numériques valides. Elle a compromis 114 systèmes à l’échelle mondiale, ciblant principalement les secteurs industriel, gouvernemental et santé en Inde et aux États-Unis. Le malware établit un accès persistant et exfiltre des données via un C2 chiffré.
Principales techniques et capacités (TTPs):
- Exécution de payloads JavaScript via Node.js, déposés dans des répertoires temporaires avec noms basés sur GUID.
- Persistance: tâches planifiées (tous les jours à 10:51), clés Run du Registre.
- Évasion/obfuscation: flattening du flot de contrôle, séquences d’échappement Unicode, boucles anti-analyse basées sur MurmurHash3, variables sans signification.
- Abus WMI: énumération et arrêt de processus navigateurs pour faciliter le vol d’identifiants via duplication des profils.
- C2 chiffré: AES-256-CBC, utilisant l’ID d’instance comme clé; commandes modulaires (téléchargement de fichiers, manipulation du registre, exécution de processus, déploiement de charges secondaires).
Ciblage et impact:
- Secteurs: manufacturing, gouvernement, santé.
- Zones: principalement Inde et États-Unis, avec portée globale.
Type d’article et objectif 🎯: Analyse de menace détaillant une campagne de malware, ses mécanismes techniques, ses cibles et son impact.
🔗 Source originale : https://blog.polyswarm.io/evilai
🖴 Archive : https://web.archive.org/web/20251014201000/https://blog.polyswarm.io/evilai