Source: NVISO (blog). Dans un billet signé par Maxime, NVISO présente une analyse technique de VShell, un outil d’intrusion en langue chinoise observé dans des activités d’espionnage à long terme, avec un suivi d’infrastructure mené sur plusieurs mois et des notifications de victimes réalisées avec l’appui de Team Cymru.

NVISO indique que VShell est utilisé par plusieurs acteurs (étatiques et indépendants). Plusieurs intrusions ont été publiquement attribuées à UNC5174 (supposé courtier d’accès initial lié au MSS chinois), souvent via l’exploitation de systèmes exposés. Toutefois, la disponibilité publique et l’usage élargi de VShell empêchent une attribution exclusive à UNC5174. L’activité observée augmente en Amérique du Sud, Afrique et APAC.

L’objectif du rapport est d’exposer le fonctionnement de VShell, les acteurs qui l’emploient et la menace associée, et de promouvoir des mesures de détection réseau/endpoint, une gestion des vulnérabilités renforcée et des capacités de détection orientées renseignement de menace. NVISO partage des techniques de suivi d’infrastructures à l’échelle mondiale, des outils pour décrypter les communications de VShell et des observations sur les comportements des attaquants.

Signatures réseau fournies (format actionnable, type Suricata/Snort) 🚨:

  • Stagers Windows: requêtes contenant « w64 » (amd64) ou « w32 » (i386), taille client ≤ 45 octets; réponses avec motifs d’octets « |d4 c3| » et séquence à l’offset 77; SIDs 1000000–1000002; MITRE: TA0011 / T1105.
  • Stagers Linux: « l64 », « l32 », « a64 » (arm64), « a32 » (arm), taille client ≤ 45; réponse débutant par « |e6 dc d5 df| »; SIDs 1000003–1000007; MITRE: TA0011 / T1105.
  • Stagers macOS (Darwin): « d64 » (amd64), « m64 » (arm64), réponses débutant par « |56 63 74 67| »; SIDs 1000008–1000010; MITRE: TA0011 / T1105.
  • Beaconing/handshake: motifs fixes de 4 octets et tests de bits/offsets sur trafic client et serveur; SIDs 1000011–1000012; MITRE: T1573 (canal chifré) et TA0011.

IOCs et TTPs 🧭:

  • IOCs: disponibles pour la communauté via ThreatFox (référencés par NVISO).
  • TTPs: Command & Control (TA0011), Ingress Tool Transfer (T1105), Encrypted Channel (T1573); exploitation répétée de systèmes exposés pour l’accès initial; usage multi‑plateforme (Windows, Linux, macOS).

Conclusion: article de type « analyse de menace » décrivant l’outillage, l’infrastructure et des signatures réseau pour améliorer la détection et la réponse aux incidents.

🧠 TTPs et IOCs détectés

TTP

Command & Control (TA0011), Ingress Tool Transfer (T1105), Encrypted Channel (T1573), exploitation de systèmes exposés pour l’accès initial

IOC

Disponibles via ThreatFox (référencés par NVISO)

🔗 Source originale : https://www.nviso.eu/blog/nviso-analyzes-vshell-post-exploitation-tool