Selon Kaspersky GReAT (24 déc. 2025), Evasive Panda conduit depuis novembre 2022 jusqu’à novembre 2024 des opérations ciblées mêlant adversary‑in‑the‑middle (AitM) et empoisonnement DNS pour livrer et exécuter en mémoire l’implant MgBot, avec des chargeurs conçus pour l’évasion et des artefacts chiffrés uniques par victime.

Les attaquants abusent de faux updaters d’applications populaires (SohuVA, iQIYI Video, IObit Smart Defrag, Tencent QQ). Un chargeur initial C++ (WTL/Wizard97Test modifié) déchiffre et décompresse une configuration LZMA, définit un chemin d’installation (%ProgramData%\Microsoft\MF), et contacte une ressource: http://www.dictionary.com/ (URI: image?id=115832434703699686&product=dict-homepage.png). Il adapte son comportement selon l’utilisateur (SYSTEM), manipule explorer.exe dans %TEMP%, et déchiffre un shellcode qu’il exécute après avoir modifié les protections mémoire via VirtualProtect.

La chaîne multi‑étapes s’appuie sur un algorithme de hachage PJW pour la résolution d’API et sur un fichier DAT chiffré avec CryptUnprotectData (lié à la machine). À défaut de ce DAT, le shellcode récupère la seconde étape depuis le web à l’aide d’un empoisonnement DNS: les requêtes vers p2p.hd.sohu.com[.]cn et surtout dictionary[.]com sont résolues vers des IP contrôlées par l’attaquant. Le chargeur envoie l’en‑tête sec-ch-ua-platform: windows %d.%d.%d.%d.%d.%d (via RtlGetVersion), permettant une ciblage par version d’OS et un choix d’implant. Le payload est déchiffré par XOR et ré‑emballé pour persistance locale sous forme chiffrée.

Un chargeur secondaire déguisé en libpython2.4.dll est sideloadé par un exécutable signé evteng.exe (MD5: 1c36452c2dad8da95d460bee3bea365e), écrit un marqueur status.dat dans C:\ProgramData\Microsoft\eHome, puis lit perf.dat contenant le payload protégé par un chiffrement hybride DPAPI + RC5 (clé RC5 chiffrée DPAPI dans les 16 premiers octets). Après déchiffrement, un injecteur personnalisé charge le module en mémoire (export preload), et un MgBot est observé injecté dans svchost.exe.

IOC et artefacts clés 🧭

  • Fichiers/chemins: sohuva_update_10.2.29.1-lup-s-tp.exe; %ProgramData%\Microsoft\MF; C:\ProgramData\Microsoft\eHome\status.dat; C:\ProgramData\Microsoft\eHome\perf.dat; libpython2.4.dll; evteng.exe (MD5: 1c36452c2dad8da95d460bee3bea365e); qiyiservice.exe
  • Domaines/URLs: p2p.hd.sohu.com[.]cn; http://www.dictionary.com/ + URI image?id=115832434703699686&product=dict-homepage.png

TTPs observées 🎯

  • AitM et empoisonnement DNS pour détourner les résolutions et livrer des charges
  • Faux updaters et DLL sideloading (exécutable signé ancien) pour l’évasion
  • Injection mémoire dans des processus légitimes (svchost.exe), exécution en mémoire multi‑étapes
  • Chiffrement: DPAPI (CryptProtect/UnprotectData), RC5, XOR; configurations LZMA
  • Résolution d’API par hachage (PJW), modification des permissions (VirtualProtect), ciblage via sec-ch-ua-platform

Type d’article: analyse de menace détaillant l’infrastructure, la chaîne d’infection et les IOCs/TTPs de la campagne MgBot d’Evasive Panda.

🧠 TTPs et IOCs détectés

TTP

[‘Adversary-in-the-middle (AitM)’, ‘DNS poisoning’, ‘Use of fake updaters’, ‘DLL sideloading’, ‘Memory injection’, ‘In-memory execution’, ‘Encryption: DPAPI, RC5, XOR’, ‘Configuration compression: LZMA’, ‘API resolution via hashing (PJW)’, ‘Modification of memory protections (VirtualProtect)’, ‘OS version targeting via sec-ch-ua-platform’]

IOC

{‘files’: [‘sohuva_update_10.2.29.1-lup-s-tp.exe’, ‘%ProgramData%\Microsoft\MF’, ‘C:\ProgramData\Microsoft\eHome\status.dat’, ‘C:\ProgramData\Microsoft\eHome\perf.dat’, ’libpython2.4.dll’, ’evteng.exe (MD5: 1c36452c2dad8da95d460bee3bea365e)’, ‘qiyiservice.exe’], ‘domains’: [‘p2p.hd.sohu.com[.]cn’, ‘http://www.dictionary.com/’], ‘urls’: [‘http://www.dictionary.com/image?id=115832434703699686&product=dict-homepage.png’]}

🔗 Source originale : https://securelist.com/evasive-panda-apt/118576/