Source: Blaze’s Security Blog (Bart Blaze). Contexte: billet technique annonçant qu’Earth Estries, un acteur APT à nexus chinois, mène une nouvelle campagne exploitant une vulnérabilité récente de WinRAR menant à l’exécution de shellcode, avec publication d’indicateurs de compromission (IoC) et de règles YARA.

  • L’acteur, aussi connu sous les noms Salt Typhoon et autres, est associé à l’usage d’implants tels que Snappybee (Deed RAT), ShadowPad, etc.
  • Dans la campagne décrite, l’exploitation d’une faille WinRAR (CVE-2025-8088) conduit à l’exécution de shellcode. Le billet fournit les IoC et des règles YARA correspondantes.

🧩 IoC principaux (extraits tels que listés):

  • Hash/SHA256:
    • f8c119bfc057dc027e6c54b966d168ee1ef38c790e581fb44 — CAB file storing
    • cf965ca0408db1d — ccwkrlib.dll
    • 94aa6619c61d434e96ca8d128731eb7ee81e399a59a17f7 — Encrypted stub
    • 51a31b564a7f3a722
    • 3c84a5255e0c08e96278dea9021e52c276b4a6c73af9fa81 — CAB file storing
    • 520aefb4a8040a8b — RES.RC
    • 3822207529127eb7bdf2abc41073f6bbe4cd6e9b95d78b6d — Dropper
    • 7dd04f42d643d2c3
    • 64ca55137ba9fc5d005304bea5adf804b045ec10c940f6c63 — Fake PDF with ADS stream
    • 3ffde43bc36ff3f
    • 6c6af015e0bfec69f7867f8c957958aa25a13443df1de26fa8 — Hijacked DLL, bloated
    • 8d56a240bdd5ad
    • 5e062fee5b8ff41b7dd0824f0b93467359ad849ecf47312e6 — Hijacked DLL
    • 2c9501b4096ccda
    • 3b47df790abb4eb3ac570b50bf96bb1943d4b46851430ebf — Downloads
    • 3fc36f645061491b — CommonSDK.exe
  • Fichiers/Filenames: ccwkrlib.dll (Hijacked DLL), RES.RC (Encrypted stub), CommonSDK.exe (stream), doc20250921133625.pdf (Fake PDF with ADS stream), startup.bat, WindowsTarys (Scheduled task)
  • Réseaux: 38[.]54[.]105[.]114 (Download server), mimosa[.]gleeze[.]com (C2 Server)
  • Règles YARA (Github): https://github.com/bartblaze/Yara-rules — Règles: EE_Loader, EE_Dropper, WinRAR_ADS_Traversal

🔍 TTPs mentionnées:

  • Exploitation d’une vulnérabilité WinRAR (CVE-2025-8088) pour l’exécution de shellcode.
  • Usage de faux PDF avec ADS (Alternate Data Streams).
  • DLL hijacking (ex. ccwkrlib.dll), composants Dropper/Loader.
  • Utilisation de CAB et d’un stub chiffré (RES.RC).
  • Tâche planifiée (WindowsTarys) et infrastructure C2/serveur de téléchargement.

📎 Références citées: NVD (CVE-2025-8088), ESET (exploitation zero-day WinRAR), JPCERT/JSAC, Trend Micro, Malpedia. Conclusion: billet d’analyse de menace visant à partager des IoC et des règles YARA liées à cette campagne.

🧠 TTPs et IOCs détectés

TTP

[“Exploitation d’une vulnérabilité WinRAR (CVE-2025-8088) pour l’exécution de shellcode”, ‘Usage de faux PDF avec ADS (Alternate Data Streams)’, ‘DLL hijacking (ex. ccwkrlib.dll)’, ‘Composants Dropper/Loader’, ‘Utilisation de CAB et d’un stub chiffré (RES.RC)’, ‘Tâche planifiée (WindowsTarys)’, ‘Infrastructure C2/serveur de téléchargement’]

IOC

{‘hash’: [‘f8c119bfc057dc027e6c54b966d168ee1ef38c790e581fb44’, ‘cf965ca0408db1d’, ‘94aa6619c61d434e96ca8d128731eb7ee81e399a59a17f7’, ‘51a31b564a7f3a722’, ‘3c84a5255e0c08e96278dea9021e52c276b4a6c73af9fa81’, ‘520aefb4a8040a8b’, ‘3822207529127eb7bdf2abc41073f6bbe4cd6e9b95d78b6d’, ‘7dd04f42d643d2c3’, ‘64ca55137ba9fc5d005304bea5adf804b045ec10c940f6c63’, ‘3ffde43bc36ff3f’, ‘6c6af015e0bfec69f7867f8c957958aa25a13443df1de26fa8’, ‘8d56a240bdd5ad’, ‘5e062fee5b8ff41b7dd0824f0b93467359ad849ecf47312e6’, ‘2c9501b4096ccda’, ‘3b47df790abb4eb3ac570b50bf96bb1943d4b46851430ebf’, ‘3fc36f645061491b’], ‘domaine’: [‘mimosa.gleeze.com’], ‘ip’: [‘38.54.105.114’]}

🔗 Source originale : https://bartblaze.blogspot.com/2025/10/earth-estries-alive-and-kicking.html