Selon un billet de blog technique de XLab de QiAnXin (référence fournie), des chercheurs ont identifié StealthServer, un backdoor sophistiqué ciblant à la fois Windows et Linux, attribué au groupe APT36. La distribution repose sur de l’ingénierie sociale avec des leurres à thématique politique et militaire, livrant des charges utiles déguisées en documents PDF. Le malware offre des capacités d’exfiltration de fichiers et d’exécution de commandes à distance, tout en recourant à des techniques anti-analyse étendues, notamment l’injection de code inutile et l’obfuscation du trafic. Plusieurs variantes indiquent un développement actif, avec une transition des communications de TCP vers WebSocket.

Techniquement, StealthServer est développé en Go, avec des variantes Windows et Linux partageant des artefacts de développement communs, notamment un chemin de projet bossmaya et des fichiers obfuscated*.go. Le code est fortement obfusqué et inclut des vérifications anti-débogage et une détection d’environnements virtualisés. Le malware gère la persistance via des modifications du registre sous Windows, des services systemd et des tâches cron sous Linux, et utilise un mutex pour empêcher l’exécution multiple.

Le protocole de communication a évolué au fil des versions, passant de TCP à HTTP puis à WebSocket. Les échanges utilisent une structure de commandes en JSON prenant en charge l’énumération de fichiers, l’upload et l’exécution de commandes. Les données exfiltrées sont protégées par un chiffrement AES-GCM. Côté livraison, les échantillons Windows s’appuient sur des macros PPT comme chargeurs, tandis que les variantes Linux exploitent des fichiers .desktop.

Tactiques et capacités mises en avant: backdoor multiplateforme, exfiltration de fichiers, exécution de commandes à distance, anti-analyse avancée et obfuscation du trafic. Les thèmes d’hameçonnage politiques et militaires servent d’appâts sociaux pour maximiser l’infection. 🕵️‍♀️🪟🐧🔐

IOCs et TTPs

  • IOCs: non fournis dans l’extrait.
  • TTPs:
    • Langage et artefacts: Go; arborescence de développement bossmaya et fichiers obfuscated*.go
    • Ingénierie sociale: leurres à thèmes politiques et militaires; payloads déguisés en PDF
    • Chaîne d’infection: Windows via macros PPT; Linux via fichiers .desktop
    • Capacités: énumération et upload de fichiers; exécution de commandes; détection d’instance par mutex
    • Communications C2: évolution TCP → HTTP → WebSocket; commandes en JSON; obfuscation du trafic
    • Anti-analyse: obfuscation lourde, insertion de code inutile, anti-debug, détection de machine virtuelle
    • Persistance: registre Windows; services systemd; tâches cron
    • Sécurité des données: chiffrement AES-GCM pour l’exfiltration

Il s’agit d’une analyse de menace visant à documenter un backdoor multiplateforme, ses variantes, ses mécanismes techniques et ses techniques d’attaque.

🧠 TTPs et IOCs détectés

TTPs

Langage et artefacts: Go; arborescence de développement bossmaya et fichiers obfuscated*.go; Ingénierie sociale: leurres à thèmes politiques et militaires; payloads déguisés en PDF; Chaîne d’infection: Windows via macros PPT; Linux via fichiers .desktop; Capacités: énumération et upload de fichiers; exécution de commandes; détection d’instance par mutex; Communications C2: évolution TCP → HTTP → WebSocket; commandes en JSON; obfuscation du trafic; Anti-analyse: obfuscation lourde, insertion de code inutile, anti-debug, détection de machine virtuelle; Persistance: registre Windows; services systemd; tâches cron; Sécurité des données: chiffrement AES-GCM pour l’exfiltration

IOCs

non fournis dans l’extrait

🔗 Source originale : https://blog.xlab.qianxin.com/apt-stealthserver-en/

🖴 Archive : https://web.archive.org/web/20251016080403/https://blog.xlab.qianxin.com/apt-stealthserver-en/