Source: Stormshield (Customer Security Lab). Dans une note publiée le 9 février 2026, l’équipe CTI prolonge l’analyse de Trend Micro (22 janvier 2026) sur l’attaque de la chaîne d’approvisionnement d’EmEditor couplée à un rare watering hole ciblant ses utilisateurs, et met en évidence la poursuite des activités malveillantes.

Constats d’infrastructure: plusieurs domaines typosquattés démarrant par « emed » et en .com (ex. emeditorjp[.]com, emeditorgb[.]com, emeditorde[.]com, emeditorjapan[.]com, emedorg[.]com, emeditorltd[.]com, emedjp[.]com) sont enregistrés le 22/12/2025 via NameSilo LLC, avec des NS chez ns1/2/3.dnsowl[.]com. Des changements de résolution DNS sont observés au 06/02/2026, notamment vers 5[.]101.82.118, 5[.]101.82.159 et 46[.]28.70.245 (selon les domaines).

Pivot fingerprint HTTP: via Validin, emeditorde[.]com présente des en-têtes HTTP dupliqués partageant l’empreinte b97d5024adab17ceffe134f9ea877bf5. Le même hash est retrouvé sur n8n.kraski-event[.]ru et keyactivate[.]cc, tous deux résolus au moment de l’analyse vers 64[.]188.83.146, bien que ces hôtes ne renvoient qu’un octet en réponse.

Chaîne d’infection: une recherche VirusTotal sur des chemins de C2 de type /gate/start/ (analogue au « /gate/init » observé par Trend Micro sur cachingdrive[.]com) révèle nc7d8p7u8j3n4hgm[.]com/gate/start/efeb550a, résolu vers 185[.]82.218.112. Le domaine (enregistré le 19/10/2025 via NameCheap, NS dns1/dns2.registrar-servers[.]com) délivre un script PowerShell obfusqué similaire à celui décrit par Trend Micro et contacte hxxps://nc7d8p7u8j3n4hgm[.]com/gate/init/efeb550a/{MACHINEGUID}. Le hash du script est ceb31976b8040cad5d5db3856466d198d3c0ea5bc904ae05c509b3b6de72e1c8.

Conclusion: Stormshield évalue avec forte confiance que nc7d8p7u8j3n4hgm[.]com constitue une phase précoce de la même campagne EmEditor et constate que les acteurs ont poursuivi leurs activités après l’exposition publique. L’article est une analyse de menace visant à enrichir les indicateurs et observations techniques de la campagne.

• IOCs principaux:

  • Domaines typosquattés: emeditorjp[.]com, emeditorgb[.]com, emeditorde[.]com, emeditorjapan[.]com, emedorg[.]com, emeditorltd[.]com, emedjp[.]com
  • Autres domaines/C2: n8n.kraski-event[.]ru, keyactivate[.]cc, nc7d8p7u8j3n4hgm[.]com, (référence Trend Micro: cachingdrive[.]com)
  • IPs observées: 5[.]101.82.118, 5[.]101.82.159, 46[.]28.70.245, 64[.]188.83.146, 185[.]82.218.112
  • Empreinte en-têtes HTTP: b97d5024adab17ceffe134f9ea877bf5
  • Hash fichier (PowerShell): ceb31976b8040cad5d5db3856466d198d3c0ea5bc904ae05c509b3b6de72e1c8
  • Chemins C2: /gate/init, /gate/start/efeb550a, /gate/init/efeb550a/{MACHINEGUID}

• TTPs relevés:

  • Typosquatting de domaines liés à « EmEditor » (préfixe « emed », TLD .com)
  • Usage de scripts PowerShell obfusqués pour la phase initiale
  • Identification unique via collecte du MACHINEGUID dans l’URL
  • C2 sur HTTPS avec chemins structurés (/gate/init, /gate/start)
  • Empreinte HTTP atypique (en-têtes dupliqués) utilisée comme signature
  • Enregistrements de domaines via NameSilo/NameCheap et NS dnsowl/registrar-servers

🧠 TTPs et IOCs détectés

TTP

[‘Typosquatting de domaines liés à « EmEditor » (préfixe « emed », TLD .com)’, ‘Usage de scripts PowerShell obfusqués pour la phase initiale’, ‘Identification unique via collecte du MACHINEGUID dans l’URL’, ‘C2 sur HTTPS avec chemins structurés (/gate/init, /gate/start)’, ‘Empreinte HTTP atypique (en-têtes dupliqués) utilisée comme signature’, ‘Enregistrements de domaines via NameSilo/NameCheap et NS dnsowl/registrar-servers’]

IOC

{‘domain’: [’emeditorjp.com’, ’emeditorgb.com’, ’emeditorde.com’, ’emeditorjapan.com’, ’emedorg.com’, ’emeditorltd.com’, ’emedjp.com’, ’n8n.kraski-event.ru’, ‘keyactivate.cc’, ’nc7d8p7u8j3n4hgm.com’, ‘cachingdrive.com’], ‘ip’: [‘5.101.82.118’, ‘5.101.82.159’, ‘46.28.70.245’, ‘64.188.83.146’, ‘185.82.218.112’], ‘http_fingerprint’: ‘b97d5024adab17ceffe134f9ea877bf5’, ‘file_hash’: ‘ceb31976b8040cad5d5db3856466d198d3c0ea5bc904ae05c509b3b6de72e1c8’, ‘c2_paths’: [’/gate/init’, ‘/gate/start/efeb550a’, ‘/gate/init/efeb550a/{MACHINEGUID}’]}

🔗 Source originale : https://www.stormshield.com/news/investigation-on-the-emeditor-supply-chain-attack/