Source: Huntress (blog). En janvier 2026, Huntress décrit une opération de KongTuke combinant malvertising, extension Chrome falsifiée et chaîne multi‑étapes PowerShell/.NET visant prioritairement les postes joints à un domaine.

• Délivrance et leurre: l’extension malveillante NexShield (usurpant uBlock Origin Lite) est diffusée via résultats/annonces de recherche et publiée sur le Chrome Web Store, avec télémétrie vers une infra C2 typosquattée (nexsnield[.]com). Après une temporisation de 60 minutes, elle provoque un DoS du navigateur en saturant les ports runtime, puis affiche un faux avertissement “CrashFix” 👀. L’utilisateur est incité à ouvrir Win+R et à coller un « correctif » depuis le presse‑papiers, ce qui exécute en réalité une commande PowerShell.

• Chaîne d’infection: la commande abuse de finger.exe (LOLBin) copié en ct.exe pour tirer et exécuter une charge depuis 199.217.98[.]108, menant à plusieurs couches d’obfuscation (ROT, Base64, XOR), bypass AMSI, anti‑VM/anti‑tools, et profilage domaine vs WORKGROUP. Les machines non‑domaine suivent un embranchement distinct avec DGA hebdomadaire (.top) et chargement .NET fileless via réflexion; lors des tests, le C2 a répondu « TEST PAYLOAD!!!! ».

• Cible prioritaire entreprise: sur hôtes joint au domaine, le C2 livre un ZIP WinPython depuis Dropbox et lance ModeloRAT 🐍 via pythonw.exe. Ce RAT Python chiffre ses échanges en RC4, implémente persistance par registre (HKCU Run), reconnaissance étendue, exécution PowerShell, dépôt/exec d’EXE/DLL/scripts, et beaconing adaptatif (80/TCP). Un chargeur .NET (« GateKeeper ») chiffre ses chaînes (AES‑256‑CBC + XOR) et réalise un fingerprinting numérique massif pour filtrer les environnements d’analyse.

• Indicators of Compromise (IOCs):

  • Extension Chrome: ID cpcdkmjddocikjdkbbeiaafnpdbdafmi, fichier CRX CPCDKMJDDOCIKJDKBBEIAAFNPDBDAFMI_2025_1116_1842_0.crx (SHA256: c46af9ae6ab0e7567573dbc950a8ffbe30ea848fac90cd15860045fe7640199c), dev: alaynna6899@gmail.com
  • Domaine C2 extension: nexsnield[.]com (install/update/uninstall beacons)
  • IPs/URLs: 199.217.98[.]108 (stager finger/PowerShell), temp[.]sh/utDKu/…/aa.exe, Dropbox b1.zip (WinPython) hxxps://www.dropbox[.]com/scl/fi/6gscgf35byvflw4y6x4i0/b1.zip?…; DGA hebdomadaire .top (/1.php, /st2)
  • ModeloRAT C2: 170.168.103[.]208, 158.247.252[.]178 (HTTP:80)
  • Registre persistance: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MonitoringService
  • Hashs: background.js (SHA256: fbfce492d1aa458c0ccc8ce4611f0e2d00913c8d51b5016ce60a7f59db67de67), GateKeeper .NET 16933906614.dll (SHA256: 6399c686eba09584bbbb02f31d398ace333a2b57529059849ef97ce7c27752f4), ModeloRAT modes.py (SHA256: c15f44d6abb3a2a882ffdc9b90f7bb5d1a233c0aa183eb765aa8bfba5832c8c6)

• TTPs observées:

  • Ingénierie sociale via fausse alerte sécurité et copier‑coller de commande; typosquatting (nexsnield vs nexshield) et usurpation d’uBlock Origin Lite
  • LOLBin: finger.exe pour récupérer/chaîner des payloads; PowerShell largement utilisé; AMSI bypass (patch mémoire et normalisation Unicode)
  • Délai d’exécution (Chrome Alarms), DoS du navigateur, anti‑DevTools/anti‑inspection; anti‑VM/anti‑debug et fingerprinting numérique
  • DGA hebdomadaire, fileless .NET via réflexion, RC4 sur C2 de ModeloRAT, persistance registre, noms mimétiques (Spotify47/AdobeXXXX)

Il s’agit d’une analyse de menace détaillée visant à documenter la campagne “CrashFix” de KongTuke, ses mécanismes d’ingénierie sociale, sa chaîne d’infection multi‑étapes et ses IOCs/TTPs.

🧠 TTPs et IOCs détectés

TTP

[‘Ingénierie sociale via fausse alerte sécurité et copier-coller de commande’, ‘Typosquatting (nexsnield vs nexshield) et usurpation d’uBlock Origin Lite’, ‘LOLBin: finger.exe pour récupérer/chaîner des payloads’, ‘PowerShell largement utilisé’, ‘AMSI bypass (patch mémoire et normalisation Unicode)’, ‘Délai d’exécution (Chrome Alarms)’, ‘DoS du navigateur’, ‘Anti-DevTools/anti-inspection’, ‘Anti-VM/anti-debug et fingerprinting numérique’, ‘DGA hebdomadaire’, ‘Fileless .NET via réflexion’, ‘RC4 sur C2 de ModeloRAT’, ‘Persistance registre’, ‘Noms mimétiques (Spotify47/AdobeXXXX)’]

IOC

{‘hash’: [‘c46af9ae6ab0e7567573dbc950a8ffbe30ea848fac90cd15860045fe7640199c’, ‘fbfce492d1aa458c0ccc8ce4611f0e2d00913c8d51b5016ce60a7f59db67de67’, ‘6399c686eba09584bbbb02f31d398ace333a2b57529059849ef97ce7c27752f4’, ‘c15f44d6abb3a2a882ffdc9b90f7bb5d1a233c0aa183eb765aa8bfba5832c8c6’], ‘domaine’: [’nexsnield[.]com’], ‘ip’: [‘199.217.98[.]108’, ‘170.168.103[.]208’, ‘158.247.252[.]178’]}

🔗 Source originale : https://www.huntress.com/blog/malicious-browser-extention-crashfix-kongtuke