Source et contexte: Morphisec Threat Labs publie un bulletin d’alerte détaillant une compromission de la chaîne d’approvisionnement d’eScan (MicroWorld Technologies) identifiée le 20 janvier 2026, où des mises à jour légitimes ont distribué un malware multi‑étapes à l’échelle mondiale.

• Chronologie: Le 20/01, un package de mise à jour malveillant est diffusé via l’infrastructure d’update d’eScan et Morphisec bloque l’activité chez ses clients. Le 21/01, Morphisec contacte eScan. eScan indique avoir détecté l’incident par supervision interne, isolé l’infrastructure affectée en 1 h et mis hors ligne le système de mises à jour global pendant plus de 8 h. Après l’incident, la plupart des clients Morphisec ont dû contacter proactivement eScan pour obtenir la remédiation.

• Chaîne d’attaque: Stage 1 (Trojanized eScan Update) remplace Reload.exe (32‑bit) et dépose un chargeur (CONSCTLX.exe). Stage 2 (Downloader) met en place une persistance via tâches planifiées, exécute du PowerShell, évite la détection, modifie le fichier hosts et la base de registre eScan pour bloquer les mises à jour à distance, et contacte une infrastructure C2. Stage 3 (Persistent downloader) s’appuie sur CONSCTLX.exe (64‑bit) déposé au Stage 1. Note d’auteur: le terme « backdoor » a été corrigé en « downloader » à la demande d’eScan.

• 🔎 IOCs principaux:

  • Composant affecté: Reload.exe (32‑bit)
  • Hashes SHA‑256 (Stage 1):
    • Observé: 36ef2ec9ada035c56644f677dab65946798575e1d8b14f1365f22d7c68269860
    • Échantillons liés: 674943387cc7e0fd18d0d6278e6e4f7a0f3059ee6ef94e0976fae6954ffd40dd; 386a16926aff225abc31f73e8e040ac0c53fb093e7daf3fbd6903c157d88958c
  • Certificat de signature: Issuer « eScan (Microworld Technologies Inc.) »; Thumbprint 76B0D9D51537DA06707AFA97B4AE981ED6D03483
  • Stage 3 (CONSCTLX.exe 64‑bit): SHA‑256 bec369597633eac7cc27a698288e4ae8d12bdd9b01946e73a28e1423b17252b1
  • C2 (défanged, statut non confirmé – à bloquer par précaution):
    • hxxps[://]vhs[.]delrosal[.]net/i; hxxps[://]tumama[.]hns[.]to; hxxps[://]blackice[.]sol-domain[.]org
    • hxxps[://]codegiant[.]io/dd/dd/dd[.]git/download/main/middleware[.]ts
    • 504e1a42.host.njalla.net; 185.241.208.115

• 🧩 TTPs et artefacts de persistance/anti‑remédiation:

  • Tâches planifiées: emplacement C:\Windows\Defrag; motif « Windows\Defrag<Application>Defrag » (ex.: Windows\Defrag\CorelDefrag)
  • Registre (persistance): HKLM\Software<GUID aléatoire> contenant une charge PowerShell encodée (byte array)
  • Blocage des mises à jour: modification du fichier hosts pour bloquer les domaines eScan; altération de la configuration registre d’eScan; parfois création d’un répertoire « efirst » sous ProgramData comme indicateur
  • Pivots de détection conseillés dans le bulletin: recherche des hashes; revue des tâches planifiées sous Windows\Defrag; inspection des clés HKLM\Software<GUID>; vérification du hosts; blocage des domaines C2; examen des logs d’update eScan du 20/01.

• Remédiation selon le bulletin: 🚨 Les mises à jour automatiques ne fonctionnent pas sur les systèmes compromis car la charge malveillante altère registre, fichiers et configuration d’update d’eScan. eScan fournit un patch manuel pour réparer l’updater et rétablir les configurations/hosts. Morphisec indique que ses protections ont empêché l’exécution sur les postes protégés (à patcher tout de même pour restaurer eScan). Pour les systèmes non protégés par Morphisec, le bulletin recommande d’assumer la compromission, d’isoler, de contacter eScan, de vérifier hosts et registre eScan, de mener une analyse forensique et de réinitialiser les identifiants utilisés.

Conclusion: Il s’agit d’un rapport d’incident visant à partager des IOCs, une chronologie et les mécanismes d’attaque afin d’aider à l’identification des systèmes affectés et à la remédiation manuelle auprès d’eScan.

🔗 Source originale : https://www.morphisec.com/blog/critial-escan-threat-bulletin/