Selon Accenture Cybersecurity, WorldLeaks — issu du rebranding de Hunters International en 2025 — a adopté une stratégie d’extorsion centrée sur la fuite de données plutôt que le chiffrement ransomware, s’appuyant sur un outil personnalisé d’exfiltration/proxy nommé RustyRocket.

  • Contexte et menace. WorldLeaks se concentre sur le vol de données sensibles et la menace de publication pour extorquer, ciblant divers secteurs avec un accent sur l’Amérique du Nord. Cette approche contourne l’efficacité croissante des sauvegardes et outils de déchiffrement : une fois les données exfiltrées, il n’existe aucune remédiation technique équivalente.

  • Capacités de RustyRocket. Écrit en Rust et fonctionnant sous Windows et Linux, RustyRocket sert de proxy et d’outil d’exfiltration. Il implémente des tunnels chiffrés en couches (TLS dans TLS), un framing de protocole personnalisé, et des garde-fous à l’exécution (configuration pré‑chiffrée saisie au runtime, non embarquée dans le binaire) pour entraver l’analyse. Il peut enchaîner plusieurs hôtes compromis (proxying interne) avant l’exfiltration, bypassant les contrôles périmétriques, et fonctionner en client et serveur via le même exécutable. Il embarque une liste interne d’environ 1000 noms pour générer des sous‑domaines C2 aléatoires.

  • Détection et signaux réseau. Les détections recommandées combinent fichier, mémoire et réseau :

    • Scanner les échantillons Windows/Linux avec la règle YARA fournie.
    • Surveiller les connexions TLS inattendues inter‑hôtes et alerter sur des SNI invalides (ex. « server », « router », « proxy »).
    • Utiliser les empreintes JA4/JA3 fournies pour le trafic RustyRocket.
    • Surveiller l’augmentation de trafic TLS vers des domaines inconnus, notamment avec sous‑domaines proches de la liste aléatoire.
    • Si le TLS peut être dépouillé, rechercher des websockets ou du TLS imbriqué dans du TLS externe.

  • IOCs et artefacts fournis 🔎

    • Échantillon représentatif: nom « winhost.exe », SHA‑256: 36255601ca5d6882d34c0d53a5a816ef0b979828038f9caf5f1a2afdfcffc329
    • Empreintes réseau:
      • JA4: t13d041000_16476d049b0b_f568d6c2d1f6
      • JA3: eb1d94daa7e0344597e756a1fb6e7054
    • Règle YARA: « RustyRocket » (avec chaînes indicatives comme “cidrsaddrs”, “domainssubdomainechstruct” et un motif d’extraction de clé)
    • Hashes Windows (SHA‑256):
      • 587d343b3d9e1201ba5a8fdd7a3a3f809052aa7dfba3f7c557189ef63a999f08
      • 961b6184447ab4cb76295ea2f324e227aff459d0e68849c46c49ecdf641e2551
      • 36255601ca5d6882d34c0d53a5a816ef0b979828038f9caf5f1a2afdfcffc329
      • 67b487ddd924e078144bb9e2c48fe8b7924221f1e55c3f2df67d65daa3415fd4
      • 6034d6aa9a13378be6cd611cb5495b50eb7dc8463ef435e3b6d8c68a57e9b8e1
      • 5b9017e700d3dd26e18043fb6e041241c704bcc08608a9f5898212dc7e722198
      • 0e63a49230d6ad3c05b57c9b35eb98b21f75cc15ff135008c1087c69478beea6
      • e7ad1b1974e8f04949936545d1297c4e3b1334a9da0ae31ab1d508174197bbce
      • 98dc0cd6290566866f3b1682335c680b9bbdb1020fc52e47315fd33eb9fa221e
      • 8b37116210f70e7768c736d657fcc143a1f009c9a69194ccc338d6e8dedb3c07
      • 88553c3e3df81a66927480fd1029d577c7805c0dd20114807a6f41b50a230e96
      • 041dca4a1d8c80f05c399dd750acf026ed5f94f1da08dc4f0f0d0ba9884916ff
      • 63150c955be4158c9b9e111de114daa59a4ffd1eab92a469c1f09dce84a698c6
      • a30609489c111decdd3f8693cff016d9a8f629a0d85fdac858add7698f9b2659
      • c1b67a62239f328b98f9d2a168565754b6779918ddaab74bb58020b95f3ec7cc
      • 180a40b7758b9b053f7f3f41511275f94b01eee88dd9b93edf003a607ee655a0
    • Hashes Linux (SHA‑256):
      • d92377d14dc2c3cd818fcf3a37343ec30a3495b9ba2eedaa2d41b698ee159b08
      • c5ffa5ac08f0feba11d767d1b2d8b096b729e90cc2874e0c8f624a5a68466131
    • Exemple de configuration (décryptée et AES‑CTR chiffrée) et encodage Base64 fournis dans l’annexe.

  • TTPs observés. Accès initial via ingénierie sociale, identifiants volés ou exploitation d’infrastructures exposées. Reconnaissance interne pour localiser les données de valeur, puis exfiltration via RustyRocket et chantage à la divulgation sur un Data Leak Site (portail de fuites, site de négociation, plateforme « Insider » et panneau affiliés).

Conclusion: il s’agit d’une analyse de menace publiée par Accenture, visant à documenter l’outil RustyRocket de WorldLeaks et à fournir des indicateurs et méthodes de détection/mitigation.

🧠 TTPs et IOCs détectés

TTP

[‘T1071.001 - Application Layer Protocol: Web Protocols’, ‘T1041 - Exfiltration Over C2 Channel’, ‘T1568.002 - Dynamic Resolution: Domain Generation Algorithms’, ‘T1573.002 - Encrypted Channel: Asymmetric Cryptography’, ‘T1105 - Ingress Tool Transfer’, ‘T1078 - Valid Accounts’, ‘T1203 - Exploitation for Client Execution’, ‘T1566 - Phishing’, ‘T1083 - File and Directory Discovery’, ‘T1021 - Remote Services’, ‘T1560 - Archive Collected Data’, ‘T1490 - Inhibit System Recovery’, ‘T1059 - Command and Scripting Interpreter’, ‘T1055 - Process Injection’]

IOC

{‘hashes’: [‘36255601ca5d6882d34c0d53a5a816ef0b979828038f9caf5f1a2afdfcffc329’, ‘587d343b3d9e1201ba5a8fdd7a3a3f809052aa7dfba3f7c557189ef63a999f08’, ‘961b6184447ab4cb76295ea2f324e227aff459d0e68849c46c49ecdf641e2551’, ‘67b487ddd924e078144bb9e2c48fe8b7924221f1e55c3f2df67d65daa3415fd4’, ‘6034d6aa9a13378be6cd611cb5495b50eb7dc8463ef435e3b6d8c68a57e9b8e1’, ‘5b9017e700d3dd26e18043fb6e041241c704bcc08608a9f5898212dc7e722198’, ‘0e63a49230d6ad3c05b57c9b35eb98b21f75cc15ff135008c1087c69478beea6’, ’e7ad1b1974e8f04949936545d1297c4e3b1334a9da0ae31ab1d508174197bbce’, ‘98dc0cd6290566866f3b1682335c680b9bbdb1020fc52e47315fd33eb9fa221e’, ‘8b37116210f70e7768c736d657fcc143a1f009c9a69194ccc338d6e8dedb3c07’, ‘88553c3e3df81a66927480fd1029d577c7805c0dd20114807a6f41b50a230e96’, ‘041dca4a1d8c80f05c399dd750acf026ed5f94f1da08dc4f0f0d0ba9884916ff’, ‘63150c955be4158c9b9e111de114daa59a4ffd1eab92a469c1f09dce84a698c6’, ‘a30609489c111decdd3f8693cff016d9a8f629a0d85fdac858add7698f9b2659’, ‘c1b67a62239f328b98f9d2a168565754b6779918ddaab74bb58020b95f3ec7cc’, ‘180a40b7758b9b053f7f3f41511275f94b01eee88dd9b93edf003a607ee655a0’, ‘d92377d14dc2c3cd818fcf3a37343ec30a3495b9ba2eedaa2d41b698ee159b08’, ‘c5ffa5ac08f0feba11d767d1b2d8b096b729e90cc2874e0c8f624a5a68466131’], ‘ja3’: [’eb1d94daa7e0344597e756a1fb6e7054’], ‘ja4’: [’t13d041000_16476d049b0b_f568d6c2d1f6’]}

🔗 Source originale : https://www.linkedin.com/posts/t-ryan-whelan-1156ab5_rusty-rocket-overview-activity-7427362471729995776-wgmI/