Selon Trend Micro (US), une attaque de type watering hole a compromis la page de téléchargement d’EmEditor fin 2025 afin de distribuer un installeur MSI modifié qui déploie un malware multi‑étapes.

• Contexte et cible. EmEditor, éditeur de texte populaire (notamment au sein des communautés de développeurs japonaises), a publié un avis de sécurité fin décembre 2025 signalant la compromission de sa page de téléchargement. L’objectif des attaquants: diffuser un installeur altéré déclenchant discrètement une chaîne d’infection post‑installation, augmentant la dwell time et les risques de perturbation opérationnelle.

• Chaîne d’infection. L’MSI compromis modifie une CustomAction pour lancer PowerShell et récupérer un premier étage depuis une URL maquillée en domaine EmEditor. Ce premier étage télécharge deux scripts principaux depuis des domaines ressemblants, via Invoke‑WebRequest, avec une forte obfuscation (Insert/Remove/Replace/Substring/Trim). L’un des scripts se concentre sur les mécanismes anti‑sécurité et le vol d’informations; l’autre sur le fingerprinting, la géorestriction et le C2/exfiltration.

• Capacités du malware. Fonctions observées: désactivation de PowerShell ETW, vol d’identifiants (accès au Credential Manager), détection de processus/logiciels de sécurité, anti‑virtualisation, captures d’écran, fingerprinting système, géofencing (exclusion de certains pays CIS) et exfiltration vers un serveur de commande‑et‑contrôle. Le malware utilise de façon récurrente l’ID « 2daef8cd », probablement un identifiant de campagne. Les acteurs restent non attribués; le pattern de géofencing suggère une origine Russie/CIS.

• Portée et exposition. Des accès aux URLs malveillantes ont été observés chez des utilisateurs EmEditor, indiquant des compromissions survenues avant l’annonce de l’éditeur. Les organisations Windows téléchargeant des logiciels tiers via des canaux publics sont exposées, notamment si les activités issues d’installateurs « de confiance » ne sont pas surveillées.

• IOCs et TTPs. 🧭

  • IOCs (extraits):
    • Première étape et payloads: hxxps://EmEditorgb.com/run/mg8heP0r ; hxxps://EmEditorde.com/gate/start/2daef8cd
    • C2/exfiltration: hxxps://cachingdrive[.]com/gate/init/2daef8cd
    • Chaîne/campagne: identifiant « 2daef8cd » réutilisé dans les URLs
    • Requêtes de chasse (exemple): processCmd:(powershell AND (emeditorjp.com OR emeditorgb.com/run/mg8heP0r OR emeditorde.com/gate/start/2daef8cd OR cachingdrive.com/gate/init/2daef8cd))
  • TTPs (extraits): compromission de chaîne d’approvisionnement / watering hole, MSI CustomAction déclenchant PowerShell, obfuscation de scripts, Invoke‑WebRequest pour récupération de payloads, désactivation ETW (évasion), credential theft (Credential Manager), anti‑VM, détection d’outils de sécurité, captures d’écran, fingerprinting, géofencing, C2 et exfiltration.

Type d’article: analyse technique visant à documenter la compromission de l’installeur EmEditor et les capacités du malware distribué.

🧠 TTPs et IOCs détectés

TTP

compromission de chaîne d’approvisionnement / watering hole, MSI CustomAction déclenchant PowerShell, obfuscation de scripts, Invoke-WebRequest pour récupération de payloads, désactivation ETW (évasion), credential theft (Credential Manager), anti-VM, détection d’outils de sécurité, captures d’écran, fingerprinting, géofencing, C2 et exfiltration

IOC

hxxps://EmEditorgb.com/run/mg8heP0r, hxxps://EmEditorde.com/gate/start/2daef8cd, hxxps://cachingdrive[.]com/gate/init/2daef8cd, identifiant de campagne ‘2daef8cd’

🔗 Source originale : https://www.trendmicro.com/en_us/research/26/a/watering-hole-attack-targets-emeditor-users.html