Selon Check Point Research, cette publication détaille les opérations d’« Ink Dragon » (chevauchement avec Earth Alux, Jewelbug, REF7707, CL-STA-0049), un cluster APT évalué comme aligné PRC, actif depuis au moins 2023 contre des entités gouvernementales, télécom et secteur public, d’abord en Asie du Sud-Est et Amérique du Sud, avec une expansion récente en Europe. Le rapport met en avant l’usage d’un module ShadowPad pour IIS qui transforme les victimes en nœuds de relais C2, ainsi qu’un nouvel échantillon de FinalDraft plus furtif.

• Accès initial: exploitation de désérialisation ViewState via des machineKey ASP.NET prévisibles sur IIS/SharePoint, et abus de la chaîne d’exploits ToolShell sur Microsoft SharePoint, combinant bypass d’authentification et désérialisation dangereuse pour RCE non authentifiée (CVE-2025-49706 / CVE-2025-53771 et CVE-2025-49704 / CVE-2025-53770). Les campagnes incluent du scanning massif et des POST/payloads forgés pour déclencher la désérialisation.

• Mouvement latéral et persistance 🧵: après la compromission web (exécution dans w3wp.exe), récupération de secrets locaux (machineKey/DecryptionKey, identifiants du worker/app-pool), tunnel/proxy RDP, propagation via SMB et déploiement d’implants (ShadowPad/FinalDraft). Persistance par tâches planifiées (ex. nom SYSCHECK) sous SYSTEM pointant vers des chargeurs (ex. conhost.exe) et services déguisés (ex. WindowsTempUpdate), souvent sous forme de triade « EXE + DLL side-loadée + blob chiffré » avec binaries signés (AMD, Realtek, NVIDIA) renommés pour se fondre dans l’OS.

• Escalade de privilèges et vol de secrets 🔑: utilisation d’outils tels que PrintNotifyPotato pour SYSTEM, LSASS dumping (variants de LalsDumper) et export des ruches SAM/SYSTEM pour cracking hors-ligne. Exploitation de sessions RDP inactives d’admin de domaine (token/verifier en mémoire) pour accéder aux partages admin, écrire et exfiltrer NTDS.dit, menant à la domination du domaine. Ouverture des flux sortants via une règle pare-feu permissive (nommée « Microsoft MsMpEng » autorisant Any→Any, appliquée localement sous SYSTEM).

• Réseau de relais ShadowPad 🛰️: déploiement d’un module IIS Listener qui enregistre des endpoints via HttpAddUrl (y compris wildcards). Le listener intercepte les requêtes HTTP(S), déchiffre et bascule vers IIS légitime si le protocole propriétaire n’est pas détecté. Il catégorise des pairs en “serveurs” et “clients” et relaye le trafic entre eux, transformant des victimes (dont des entités gouvernementales) en ponts C2 transparents au sein d’un mesh multi‑couches. Le module sert aussi de proxy interne pour atteindre des implants non exposés.

• IOCs observés et TTPs 📌:

  • IOCs/artefacts: ShadowPad (IIS Listener), FinalDraft (nouvelle variante), paramètres __VIEWSTATE, machineKey/DecryptionKey, processus w3wp.exe, loaders conhost.exe (renommé), tâches planifiées « SYSCHECK », service « WindowsTempUpdate », règle pare-feu « Microsoft MsMpEng », exfiltration NTDS.dit.
  • Vulnérabilités/exploits: ToolShell SharePoint (CVE-2025-49706 / 53771, CVE-2025-49704 / 53770), désérialisation ViewState via machineKey prévisibles.
  • TTPs: enregistrement d’URL via HttpAddUrl, RDP proxy/tunnel, side-loading DLL, scheduled tasks/services sous SYSTEM, LSASS/SAM/SYSTEM dumps, utilisation de SMB pour déploiement, masquerading avec binaires signés renommés, pairing server/client pour relais C2, règles pare-feu permissives Any→Any.

Type d’article: publication de recherche visant à documenter une opération d’espionnage sophistiquée, ses TTPs, et le fonctionnement d’un réseau de relais ShadowPad intégrant des victimes comme nœuds C2.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation de désérialisation ViewState via des machineKey ASP.NET prévisibles’, ‘Abus de la chaîne d’exploits ToolShell sur Microsoft SharePoint’, ‘RCE non authentifiée’, ‘Récupération de secrets locaux’, ‘Tunnel/proxy RDP’, ‘Propagation via SMB’, ‘Déploiement d’implants’, ‘Persistance par tâches planifiées’, ‘Persistance par services déguisés’, ‘DLL side-loading’, ‘Escalade de privilèges avec PrintNotifyPotato’, ‘LSASS dumping’, ‘Export des ruches SAM/SYSTEM’, ‘Exploitation de sessions RDP inactives’, ‘Exfiltration NTDS.dit’, ‘Règle pare-feu permissive Any→Any’, ‘Déploiement d’un module IIS Listener’, ‘Enregistrement d’URL via HttpAddUrl’, ‘Relais de trafic C2’, ‘Masquerading avec binaires signés renommés’]

IOC

[‘ShadowPad (IIS Listener)’, ‘FinalDraft (nouvelle variante)’, ‘Paramètres __VIEWSTATE’, ‘MachineKey/DecryptionKey’, ‘Processus w3wp.exe’, ‘Loaders conhost.exe (renommé)’, ‘Tâches planifiées SYSCHECK’, ‘Service WindowsTempUpdate’, ‘Règle pare-feu Microsoft MsMpEng’, ‘Exfiltration NTDS.dit’]

🔗 Source originale : https://research.checkpoint.com/2025/ink-dragons-relay-network-and-offensive-operation/