Kaspersky publie un rapport (19 déc. 2025) sur l’APT Cloud Atlas, ciblant l’Europe de l’Est et l’Asie centrale, et décrit en détail la chaîne d’infection et des implants (dont certains inédits) observés au 1er semestre 2025.

  • Point d’entrée: phishing avec document Office (DOC/X) chargeant un modèle RTF malveillant exploitant CVE‑2018‑0802 (Equation Editor) pour télécharger/exécuter un HTA. Les modèles/HTA sont hébergés sur des serveurs de l’acteur, avec téléchargements restreints dans le temps et par IP.

  • Chaîne d’exécution: le HTA dépose des scripts VBShower qui installent d’autres implants: VBCloud, PowerShower, et le backdoor CloudAtlas.

  • VBShower (backdoor et payloads): la version 2025 exécute désormais les scripts téléchargés dans le contexte courant quel que soit leur taille. Les payloads recensés incluent: collecte de processus (création, caption, cmdline); installation de VBCloud (ZIP vers %Public%\Libraries, tâche planifiée “MicrosoftEdgeUpdateTask” lançant wscript.exe /B %Public%\Libraries\MicrosoftEdgeUpdate.vbs); installation du backdoor CloudAtlas via DLL hijacking de VLC (fichiers a.xml/d.xml/e.xml renommés en binaires VLC, c.xml en DLL malveillante, b.xml en payload chiffré, tâche “MicrosoftVLCTaskMachine” exécutant %LOCALAPPDATA%\vlc\vlc.exe); vérifications d’accès à des services cloud (réponses HTTP exfiltrées); vérification d’accessibilité du C2 PowerShower; récupération des paramètres proxy.

  • VBCloud: composé d’un launcher VB (MicrosoftEdgeUpdate.vbs) et d’un corps chiffré (upgrade.mds). Le launcher décode les données (délimitées par “%H”) puis décrypte en RC4 (implémentation avec PRGA) avant d’exécuter le contenu. Les payloads communiquent directement avec le C2. Le payload le plus courant, FileGrabber, exfiltre des fichiers avec contraintes: ignore Program Files, Program Files (x86), %SystemRoot%; taille entre 1 000 et 3 000 000 octets; modification < 30 jours; ignore des noms tels que intermediate.txt, FlightingLogging.txt, ThirdPartyNotices, LICENSE.txt, serviceworker.txt, etc.

  • PowerShower: installé par VBShower via PowerShell avec -ep bypass et une tâche planifiée “MicrosoftAdobeUpdateTaskMachine”. Le script déposé AdobeMon.ps1 lance un second script Base64. En boucle, il contacte le C2, récupère un payload PS (double Base64) et retourne désormais le résultat par return (plus de fichier temporaire sapp.xtx). Un payload dédié permet la collecte de fichiers sur un partage réseau.

  • Backdoor CloudAtlas (via VLC): le VLC légitime charge une DLL malveillante (%LOCALAPPDATA%\vlc\plugins\access\libvlc_plugin.dll) qui lit un payload chiffré depuis %LOCALAPPDATA%\vlc\chambranle. La DLL extrait une seconde DLL en mémoire, décrypte la configuration (XOR) contenant un nom d’événement anti-double exécution, le nom du fichier payload (“chambranle”) et la clé. Le déchiffrement utilise une IV placée en fin du fichier “chambranle”.

IoCs et TTPs observés

  • Réseau/URLs

    • Modèle RTF (exemple) : hxxps://securemodem[.]com?tzak.html_anacid
    • Vérification d’accès cloud (exemple) : https://webdav.yandex.ru

  • Artefacts/fichiers et chemins

    • VBCloud: MicrosoftEdgeUpdate.vbs, upgrade.mds
    • CloudAtlas via VLC: %LOCALAPPDATA%\vlc\vlc.exe, %LOCALAPPDATA%\vlc\chambranle, %LOCALAPPDATA%\vlc\libvlc.dll, %LOCALAPPDATA%\vlc\libvlccore.dll, %LOCALAPPDATA%\vlc\plugins\access\libvlc_plugin.dll (ex a.xml/b.xml/c.xml/d.xml/e.xml)
    • PowerShower: %APPDATA%\Adobe\AdobeMon.ps1 (déposé depuis p.txt)

  • Persistance/tâches planifiées

    • MicrosoftEdgeUpdateTask (VBCloud)
    • MicrosoftVLCTaskMachine (CloudAtlas via VLC)
    • MicrosoftAdobeUpdateTaskMachine (PowerShower)

  • Registre (évasion visuelle)

    • HKCU\Console\%SystemRoot%_System32_WindowsPowerShell_v1.0_powershell.exeWindowPosition
    • HKCU\UConsole\taskeng.exeWindowPosition

  • Techniques (TTPs)

    • Initial access: phishing + CVE‑2018‑0802 (Equation Editor) → HTA
    • Execution: VBScript, PowerShell (Base64), HTA
    • Persistence: Scheduled Tasks, modification de clés Registre pour masquer les consoles
    • Defense evasion/loader: DLL hijacking via VLC, exécution en mémoire, XOR et RC4, restrictions de téléchargement (temps/IP)
    • Discovery: collecte processus, proxy
    • C2: HTTP (GET/POST), payloads renvoyant directement les résultats
    • Collection/Exfiltration: FileGrabber avec filtres sur taille/date/chemins/noms

En résumé, il s’agit d’une publication technique détaillée de Kaspersky visant à documenter les outils, la chaîne d’infection et les évolutions des implants de Cloud Atlas au 1er semestre 2025. 🕵️

🧠 TTPs et IOCs détectés

TTP

[‘Initial Access: Phishing with CVE-2018-0802 (Equation Editor) leading to HTA’, ‘Execution: VBScript, PowerShell (Base64), HTA’, ‘Persistence: Scheduled Tasks, modification of Registry keys for console hiding’, ‘Defense Evasion: DLL hijacking via VLC, in-memory execution, XOR and RC4 encryption, download restrictions (time/IP)’, ‘Discovery: Process collection, proxy settings retrieval’, ‘Command and Control: HTTP (GET/POST), payloads directly returning results’, ‘Collection/Exfiltration: FileGrabber with filters on size/date/paths/names’]

IOC

[‘Network/URLs: hxxps://securemodem[.]com?tzak.html_anacid’, ‘Network/URLs: https://webdav.yandex.ru’, ‘Files/Paths: MicrosoftEdgeUpdate.vbs, upgrade.mds’, ‘Files/Paths: %LOCALAPPDATA%\vlc\vlc.exe, %LOCALAPPDATA%\vlc\chambranle, %LOCALAPPDATA%\vlc\libvlc.dll, %LOCALAPPDATA%\vlc\libvlccore.dll, %LOCALAPPDATA%\vlc\plugins\access\libvlc_plugin.dll’, ‘Files/Paths: %APPDATA%\Adobe\AdobeMon.ps1’, ‘Scheduled Tasks: MicrosoftEdgeUpdateTask, MicrosoftVLCTaskMachine, MicrosoftAdobeUpdateTaskMachine’, ‘Registry: HKCU\Console\%SystemRoot%_System32_WindowsPowerShell_v1.0_powershell.exe → WindowPosition’, ‘Registry: HKCU\UConsole\taskeng.exe → WindowPosition’]

🔗 Source originale : https://securelist.com/cloud-atlas-h1-2025-campaign/118517/