Source : Malware Analysis Space (blog de Seeker/@clibm079, Chine), publié le 2 janvier 2026. L’auteur propose des « notes complémentaires » à une analyse antérieure de LoJax, centrées sur le mécanisme de gestion/persistance abusé par ce bootkit UEFI, avec un fil conducteur du firmware jusqu’au mode utilisateur.

Le billet rappelle que, sur une machine victime avec le Secure Boot désactivé ou mal configuré, LoJax exploite une condition de concurrence dans les protections d’écriture de la SPI flash. La persistance n’est pas basée sur les variables de boot UEFI, mais sur un driver DXE malveillant stocké en SPI flash. L’exécution est déclenchée via un callback d’événement ReadyToBoot (confirmation attribuée à ESET), et aucune modification de Boot####/BootOrder n’est rapportée (confiance indiquée comme faible).

D’un point de vue chaîne d’exécution, le driver DXE (SecDxe) dépose tôt au démarrage un driver noyau (autoche.exe) et un binaire utilisateur (rpcnetp.exe). Le driver noyau configure les clés de registre de service afin que le Service Control Manager (SCM) lance légitimement le service lors de la séquence normale de démarrage (via wininit.exe). Le payload utilisateur, rpcnetp.exe, définit le nom de service « rpcnetp », fonctionne comme agent C2 de longue durée et intègre des implémentations pour Windows 32 et 64 bits.

IOC observés (extraits du billet) :

  • Fichiers déposés : autoche.exe (driver noyau), rpcnetp.exe (service utilisateur)
  • Nom de service : rpcnetp

TTPs décrites :

  • Persistance via DXE malveillant en SPI flash (UEFI)
  • Déclenchement par événement ReadyToBoot
  • Secure Boot désactivé/mal configuré comme prérequis d’exploitation
  • Exploitation d’une race condition dans la protection d’écriture SPI flash
  • Configuration du service via registre pour un lancement par le SCM (wininit.exe)
  • Payload C2 multi-arch (x86/x64)
  • Pas d’abus de variables UEFI Boot####/BootOrder rapporté (confiance faible indiquée)

L’article est une analyse technique et des notes de recherche visant à clarifier, étape par étape, le mécanisme de persistance de LoJax du firmware au mode utilisateur, sans annoncer de nouvel incident ni de découverte d’IOC additionnels. 🎯

🧠 TTPs et IOCs détectés

TTP

Persistance via DXE malveillant en SPI flash (UEFI); Déclenchement par événement ReadyToBoot; Secure Boot désactivé/mal configuré comme prérequis d’exploitation; Exploitation d’une race condition dans la protection d’écriture SPI flash; Configuration du service via registre pour un lancement par le SCM (wininit.exe); Payload C2 multi-arch (x86/x64); Pas d’abus de variables UEFI Boot####/BootOrder rapporté (confiance faible indiquée)

IOC

Fichiers déposés: autoche.exe (driver noyau), rpcnetp.exe (service utilisateur); Nom de service: rpcnetp

🔗 Source originale : https://malwareanalysisspace.blogspot.com/2026/01/revisiting-lojax-supplementary-analysis.html