Selon l’annonce du projet OpenMalleableC2, cette bibliothèque open source implémente le format de profil Malleable C2 de Cobalt Strike pour transformer et transporter des données sur HTTP de manière flexible et transparente.
Le projet vise à combler les limites de personnalisation du trafic HTTP observées dans des frameworks C2 open source existants (comme Mythic, Havoc, Adaptix) en permettant la réutilisation directe des profils Malleable C2 et de l’écosystème associé. Il se présente comme « framework-agnostic » afin de s’intégrer à divers outils de recherche et d’équipes rouges. 🛠️
L’auteur précise que l’implémentation est « mostly working » mais sans garantie de stabilité, et encourage les retours de bogues. L’objectif est de fournir une manière stable et transparente d’envoyer des données arbitraires via HTTP en s’appuyant sur les profils Malleable C2.
Un exemple fourni (« ping pong ») illustre un schéma de callback typique de Beacon : l’agent effectue un check-in via une requête GET pour récupérer une tâche, puis renvoie le résultat via une requête POST. Dans cet exemple, la tâche consiste à inverser une chaîne aléatoire ; le serveur vérifie la réponse de l’agent et réagit en conséquence. 🧪
Références incluses : documentation Malleable C2 de Cobalt Strike et un dépôt de profils Malleable C2. Il s’agit d’une annonce de publication d’outil axée sur la compatibilité avec les profils existants et la démonstration de flux HTTP malléables.
TTPs observés (décrits):
- Utilisation de profils Malleable C2 pour transformer/encapsuler des données dans des requêtes HTTP.
- Schéma de callback Beacon: GET pour le check-in des tâches, POST pour exfiltrer les résultats.
- Embedding de données de callback dans des requêtes HTTP « innocentes » via transformations définies par profil.
Type d’article: annonce d’un nouvel outil open source destiné aux usages de recherche/red team.
🔗 Source originale : https://github.com/CodeXTF2/OpenMalleableC2