Source et contexte: ESET Research (WeLiveSecurity) publie une analyse le 28 janv. 2026 d’une campagne d’espionnage multicanale visant principalement des utilisateurs au Pakistan, combinant un spyware Android baptisé GhostChat, une attaque ClickFix sur Windows et une technique d’appairage de comptes WhatsApp.
• GhostChat (Android/Spy.GhostChat.A) se présente comme une appli de chat/dating avec des profils féminins « verrouillés » nécessitant des codes d’accès. Ces identifiants et codes sont en réalité hardcodés et servent d’appât d’exclusivité. L’appli n’a jamais été sur Google Play et nécessite l’installation depuis des sources inconnues. Dès l’exécution (même avant connexion), elle réalise de la surveillance furtive et de l’exfiltration (ID de l’appareil, contacts au format .txt, fichiers locaux: images, PDF, documents Office/Open XML) vers un serveur C2. Elle implémente un content observer pour téléverser les nouvelles images, et un scan périodique (toutes les 5 minutes) des documents. Elle utilise des numéros WhatsApp +92 intégrés pour rediriger les victimes vers des conversations opérées par l’attaquant. Google Play Protect bloque les versions connues via l’ADA.
• Activité liée (Windows) – ClickFix: Les chercheurs relient GhostChat à une opération sur desktop où des scripts batch tentent de récupérer un DLL malveillant (notepad2.dll) depuis hitpak[.]org. Une campagne distincte exploite ClickFix via un faux site se faisant passer pour le PKCERT, incitant à cliquer « Update » puis à télécharger/exécuter un DLL (file.dll) hébergé sur GitHub Pages. Le payload établit une communication C2 (hitpak[.]org), envoie nom d’hôte/utilisateur, puis boucle toutes les 5 minutes pour recevoir et exécuter des commandes PowerShell encodées en Base64 avec ExecutionPolicy Bypass.
• Détournement WhatsApp (GhostPairing): La même infrastructure promeut un faux canal du Ministry of Defence pakistanais sollicitant un scan de QR pour lier l’appareil à WhatsApp Web/Desktop. Cette technique donne à l’attaquant une visibilité complète sur l’historique et les contacts de la victime. WhatsApp affiche ensuite une notification de nouvel appareil lié.
• Indicateurs de compromission (IoCs) 📍:
- Fichiers/Hashes:
- Live Chat.apk — SHA-1: B15B1F3F2227EBA4B69C85BDB638DF34B9D30B6A — Détection: Android/Spy.GhostChat.A
- file.dll — SHA-1: 8B103D0AA37E5297143E21949471FD4F6B2ECBAA — Détection: Win64/Agent.HEM
- Paquet Android: com.datingbatch.chatapp
- Domaines/URLs:
- hitpak[.]org (distribution et C2) — IP: 188.114.96[.]10 (Cloudflare) — First seen: 2024-12-16
- https://hitpak[.]org/notepad2.dll
- https://foxy580.github[.]io/koko/file.dll
- https://buildthenations[.]info/PKCERT/pkcert.html
• Tactiques, techniques et procédures (TTPs) 🔎:
- Ingénierie sociale: arnaque amoureuse avec profils verrouillés et codes hardcodés; usurpation de PKCERT et d’un Ministère de la Défense.
- Distribution: sideloading Android (sources inconnues), ClickFix (instructions guidées pour exécuter un DLL).
- Persistance/Exécution (mobile): BOOT_COMPLETED (T1398), service au premier plan (T1541).
- Découverte/Collecte (mobile): System Information Discovery (T1426), Data from Local System (T1533), observer de contenu pour images, tâches périodiques (5 min), exfiltration vers C2.
- Windows: DLL avec boucle C2 (5 min), PowerShell Base64, ExecutionPolicy Bypass, RCE contrôlée par serveur.
Il s’agit d’une publication de recherche visant à documenter une campagne d’espionnage multi-plateforme, ses leurres, ses charges utiles et ses IoCs, afin d’éclairer la menace et de faciliter la détection.
🧠 TTPs et IOCs détectés
TTP
[‘Ingénierie sociale: arnaque amoureuse avec profils verrouillés et codes hardcodés’, ‘Usurpation de PKCERT et d’un Ministère de la Défense’, ‘Distribution: sideloading Android (sources inconnues), ClickFix (instructions guidées pour exécuter un DLL)’, ‘Persistance/Exécution (mobile): BOOT_COMPLETED (T1398), service au premier plan (T1541)’, ‘Découverte/Collecte (mobile): System Information Discovery (T1426), Data from Local System (T1533), observer de contenu pour images, tâches périodiques (5 min), exfiltration vers C2’, ‘Windows: DLL avec boucle C2 (5 min), PowerShell Base64, ExecutionPolicy Bypass, RCE contrôlée par serveur’]
IOC
{‘hash’: [‘B15B1F3F2227EBA4B69C85BDB638DF34B9D30B6A’, ‘8B103D0AA37E5297143E21949471FD4F6B2ECBAA’], ‘domaine’: [‘hitpak[.]org’, ‘foxy580.github[.]io’, ‘buildthenations[.]info’], ‘ip’: [‘188.114.96[.]10’]}
🔗 Source originale : https://www.welivesecurity.com/en/eset-research/love-actually-fake-dating-app-used-lure-targeted-spyware-campaign-pakistan/