Source : Kaspersky (Security technologies, 11 décembre 2025). Contexte : l’article analyse comment identifier le framework de post‑exploitation open source Mythic dans le trafic réseau, alors que ces outils (Mythic, Sliver, Havoc, Adaptix C2) sont de plus en plus utilisés par des acteurs malveillants, dont Mythic Likho (Arcane Wolf) et GOFFEE (Paper Werewolf). Le focus porte sur la tactique MITRE ATT&CK Command and Control (TA0011) et la détection NDR/IDS.

• Aperçu du framework et des canaux C2. Mythic multiplie agents (Go, Python, C#) et transports (HTTP/S, WebSocket, TCP, SMB, DNS, MQTT). Deux architectures sont décrites : P2P entre agents via SMB/TCP, ou communication directe vers le serveur C2 via HTTP/S, WebSocket, MQTT ou DNS. Les agents priorisent l’évasion EDR, mais restent détectables via l’analyse réseau.

• P2P via SMB. Les agents utilisent par défaut un named pipe dont le nom correspond à un UUID. Le protocole d’échange s’appuie sur une structure MythicMessage avec en-têtes (taille totale, nombre de blocs, numéro de bloc) et des données encodées selon le schéma base64(UUID+AES‑256(JSON)). Kaspersky propose des règles Suricata qui cherchent le motif d’UUID dans le nom de pipe (FSCTL_PIPE_WAIT) et qui décodent la charge Base64 transportée dans des WriteRequest avec BlobOffset et BlobLen à zéro. Limite clé : en SMBv3 chiffré, ces signatures ne voient plus le contenu; un recours au comportement est possible mais peu précis et sujet aux faux positifs.

• P2P via TCP. Même structure d’échange MythicMessage : la longueur est envoyée en big‑endian (DWORD), puis nombre de blocs, numéro de bloc (toujours 0x00000000 en TCP) et données au format base64(UUID+AES‑256(JSON)). Deux règles Suricata sont proposées : l’une marque la session lorsque la longueur est observée, la seconde, en début de session, décode Base64 et détecte un UUID en clair dans les données décodées. 🕵️‍♀️

• Egress via services légitimes. Mythic prend en charge des modules de transport Discord et GitHub (Slack est indiqué comme non pertinent au moment de l’écriture), rendant le trafic plus discret au sein de l’infrastructure. L’article reste focalisé sur la détection réseau de TA0011 et illustre les alertes dans l’interface Kaspersky NDR (KATA NDR, NGFW). 📶

• TTPs et couverture MITRE. L’article cite plusieurs tactiques (Pivoting, Collection TA0009, Exfiltration TA0010, Command and Control TA0011), tout en détaillant surtout la détection de la C2 via motifs UUID, structure MythicMessage, et encodage Base64 + AES‑256 sur SMB et TCP.

IOCs et TTPs

  • IOCs : non fournis.
  • TTPs :
    • TA0011 Command and Control via P2P SMB (named pipes) et TCP.
    • Encodage des échanges en base64(UUID+AES‑256(JSON)) et segmentation en blocs.
    • Usage de services egress Discord et GitHub pour la furtivité.

Conclusion : article de recherche technique présentant des méthodes de détection réseau concrètes (règles Suricata) du framework Mythic C2, avec un éclairage sur les limites en présence de chiffrement SMBv3.

🧠 TTPs et IOCs détectés

TTP

[‘TA0011 Command and Control via P2P SMB (named pipes) et TCP’, ‘Encodage des échanges en base64(UUID+AES-256(JSON)) et segmentation en blocs’, ‘Usage de services egress Discord et GitHub pour la furtivité’]

IOC

non fournis

🔗 Source originale : https://securelist.com/detecting-mythic-in-network-traffic/118291/