Source: SEQRITE — Dans une analyse technique, l’équipe APT de SEQRITE documente « Operation DupeHike », une campagne active depuis novembre 2025 (cluster UNG0902) ciblant des entités corporatives russes, notamment les services RH, paie et administration.

🎯 Le leurre s’appuie sur des documents PDF à thème « bonus annuel » distribués via une archive ZIP. Le fichier malveillant est une raccourci LNK déguisé en PDF qui exécute PowerShell pour télécharger et lancer l’implant DUPERUNNER (C++), lequel déploie ensuite un beacon AdaptixC2.

🧪 Chaîne d’infection en 3 étapes:

  • Étape 1 — LNK malveillant: lance PowerShell avec « -NoNI -nop -w hidden » et iwr pour récupérer s.exe depuis 46[.]149[.]71[.]230 (sauvé dans %Temp%).
  • Étape 2 — Implant C++ DUPERUNNER: fonctions clés incluant DownloadAndOpenPDF (télécharge un PDF « fontawesome_tld.woff » et l’ouvre via ShellExecuteA), GetTargetPID (énumère explorer.exe, notepad.exe, msedge.exe), Download (récupère « fontawesome.woff »), et injection par thread distant (VirtualAllocEx/WriteProcessMemory/CreateRemoteThread) pour exécuter le beacon AdaptixC2.
  • Étape 3 — Stager AdaptixC2: « fontawesome.woff » contient un loader qui cherche la séquence magique 0x5A45 (« EZ »), localise un PE embarqué, résout ntdll/kernel32 via parcours PEB et hashing djb2-like (seed 1572), puis charge la payload en mémoire. Le beacon communique en HTTP POST avec un User-Agent spécifique (extrait lors de l’analyse), et un Beacon-ID est présent dans la config.

🌐 Infrastructures: l’IP 46[.]149[.]71[.]230 expose le port 443 (config par défaut de l’HTTP Beacon AdaptixC2) et un Apache par défaut; des phases antérieures utilisaient port 80 pour le téléchargement des stagers. Des domaines se superposent à cette IP. Autres hôtes de C2 mentionnés avec config similaire. Infrastructures hébergées sous les AS 48282 (VDSINA-AS) et AS 9123 (TIMEWEB-AS).

📎 IOCs et TTPs ci-dessous. L’article conclut que la campagne est suivie sous UNG0902 (« Operation DupeHike »), sans attribution établie, et fournit des détections SEQRITE.

IOC observés:

  • Fichiers/leurres: « Премия 2025.zip », « Документ_1_О_размере_годовой_премии.pdf.lnk », « Документ_2_О_сроках_и_порядке_получения_выплат.pdf », « s.exe », « fontawesome_tld.woff », « fontawesome.woff »
  • Processus ciblés pour injection: explorer.exe, notepad.exe, msedge.exe
  • IP/Infra: 46[.]149[.]71[.]230 (ports 80/443), AS 48282 (VDSINA-AS), AS 9123 (TIMEWEB-AS)
  • Hashes (SHA-256):
    • 87db5cbd76e7adeb6932c4ae14f3d3bb736d631460d65e067fb2a0083b675399 (EXE)
    • d9e2b6341f6de5c95dd02cf3350c07cd2be3b0a78b82c073229396b6d4c8d3c1 (EXE)
    • 3ce5ab897b7f33bc1b9036abc8e7d2812b385fbab404dad686afaf9fb83fe07a (EXE)
    • 48b9f78899b8a3daaeb9cbf7245350a6222cbf0468cd5c2bab954c8dbbce3995 (EXE)
    • 7157be86c6612c59e5120ae00260f4268b19560fa5a6fa52ed54d72868070d50 (7zip)
    • 432974205e1ce4c1d2c0e6bf6ebfafd90f6c19451eec0485ac46beaf65247763 (EXE)
    • 1e0c5129ac74989754b7c27be9e12b1ebf90fa5f81db6d7fe5f1aa050a914cf9 (EXE)
    • 3a52c13d00af0486095ee4007fd72dae646d3c7384754744507e33537b3fdf2a (EXE)
    • 8c075d89eee37a58f1f3a8bf0cbd97e0c8f00e73179a36eb2cd8745024c1c4ee (EXE)
    • 2cd715d0702fd70fda45c0569a38b3d983de1a8cf23b559293a7c0623da69c90 (EXE)
    • ba6902efd3771a564785bdae68fa5f5ac12b7ebd828e8975459fff0136e2efdb (DLL)

Tactiques/Techniques (MITRE ATT&CK):

  • T1566.001 — Spearphishing Attachment: archive ZIP avec LNK thématique bonus.
  • T1204.002 — User Execution: Malicious File: ouverture du LNK supposé être un PDF.
  • T1059.001 — PowerShell: exécution cachée pour télécharger/exécuter DUPERUNNER.
  • T1218.011 — System Binary Proxy Execution (LOLBIN): utilisation de PowerShell/LOLBINs.
  • T1105 — Ingress Tool Transfer: iwr pour s.exe et fontawesome.woff.
  • T1036 — Masquerading: LNK → PDF, DLL → ZIP, WOFF → fichier police.
  • T1027 — Obfuscated/Encrypted File: shellcode packé avec marqueur « EZ » et PE embarqué.

Type d’article: analyse technique détaillée d’une campagne et publication d’IOCs/TTPs.

🧠 TTPs et IOCs détectés

TTP

[‘T1566.001 — Spearphishing Attachment: archive ZIP avec LNK thématique bonus.’, ‘T1204.002 — User Execution: Malicious File: ouverture du LNK supposé être un PDF.’, ‘T1059.001 — PowerShell: exécution cachée pour télécharger/exécuter DUPERUNNER.’, ‘T1218.011 — System Binary Proxy Execution (LOLBIN): utilisation de PowerShell/LOLBINs.’, ‘T1105 — Ingress Tool Transfer: iwr pour s.exe et fontawesome.woff.’, ‘T1036 — Masquerading: LNK → PDF, DLL → ZIP, WOFF → fichier police.’, ‘T1027 — Obfuscated/Encrypted File: shellcode packé avec marqueur « EZ » et PE embarqué.’]

IOC

{‘hashes’: [‘87db5cbd76e7adeb6932c4ae14f3d3bb736d631460d65e067fb2a0083b675399’, ‘d9e2b6341f6de5c95dd02cf3350c07cd2be3b0a78b82c073229396b6d4c8d3c1’, ‘3ce5ab897b7f33bc1b9036abc8e7d2812b385fbab404dad686afaf9fb83fe07a’, ‘48b9f78899b8a3daaeb9cbf7245350a6222cbf0468cd5c2bab954c8dbbce3995’, ‘7157be86c6612c59e5120ae00260f4268b19560fa5a6fa52ed54d72868070d50’, ‘432974205e1ce4c1d2c0e6bf6ebfafd90f6c19451eec0485ac46beaf65247763’, ‘1e0c5129ac74989754b7c27be9e12b1ebf90fa5f81db6d7fe5f1aa050a914cf9’, ‘3a52c13d00af0486095ee4007fd72dae646d3c7384754744507e33537b3fdf2a’, ‘8c075d89eee37a58f1f3a8bf0cbd97e0c8f00e73179a36eb2cd8745024c1c4ee’, ‘2cd715d0702fd70fda45c0569a38b3d983de1a8cf23b559293a7c0623da69c90’, ‘ba6902efd3771a564785bdae68fa5f5ac12b7ebd828e8975459fff0136e2efdb’], ‘ip’: [‘46.149.71.230’], ‘domains’: [], ‘infrastructure’: [‘AS 48282 (VDSINA-AS)’, ‘AS 9123 (TIMEWEB-AS)’]}

🔗 Source originale : https://www.seqrite.com/blog/9512-2/