Source : S2W (TALON) — Dans « Inside the Ecosystem, Operations: DragonForce », S2W dresse un panorama technique et opérationnel du groupe ransomware DragonForce, actif depuis décembre 2023, en couvrant son cartel RaaS, son Data Leak Site (DLS), son panel affiliés, et l’évolution de ses binaires Windows et Linux.

  • Le groupe a émergé avec des fuites de données sur BreachForums, en s’appuyant sur des éléments des codes sources LockBit 3.0 (LockBit Black) et Conti. Au 01/2026, le builder basé LockBit 3.0 n’est plus disponible. DragonForce promeut son écosystème via le service RansomBay et des offres différenciantes (p. ex. Harassment Calling, Data Analysis) pour élargir son influence RaaS.

  • Côté victimologie, DragonForce a publié sa première victime sur son DLS le 06/12/2023 et totalise 363 entreprises listées au 01/2026. L’activité culmine en décembre 2025 avec 35 victimes publiées sur le mois, après une montée progressive depuis les 22 révélées en décembre 2023.

  • Sur les forums DDW (BreachForums, RAMP, Exploit), le groupe recrute des affiliés/pentesters et entretient des dynamiques à la fois associatives et adversariales avec d’autres groupes (tentatives de coopération publiques avec Qilin et LockBit, conflits via attaques d’infrastructure, associations déduites par similarités de code/binaires/ransom notes). Le panel affiliés comprend huit sous-pages (suivi des victimes, génération de builds, gestion d’accès). Par rapport à 12/2024, l’option de sélection de drivers vulnérables (BYOVD) disparaît de l’UI et le builder LockBit est retiré, mais la fonction BYOVD de terminaison de processus reste dans le binaire par défaut. Un mode bêta introduit des règles d’encryption par extension (override du mode full/partial/header indépendamment de la taille de fichier).

  • Analyse binaire Windows : cœur fonctionnel conservé (routine d’encryption, BYOVD), structure de métadonnées ajustée avec un champ Encryption Ratio étendu de 1 à 4 octets (taille totale appendue de 534 à 537 octets). Le config est chiffré via ChaCha8 et s’enrichit d’un champ « encryption_rules ». Analyse binaire Linux (ESXi, NAS, RHEL) : parité fonctionnelle avec Windows pour chiffrement/config, la version ESXi ajoute l’arrêt des VM et la collecte d’infos d’environnement/utilisateur. Flux d’exécution Linux : parsing des arguments (mode démon via -d), journalisation, délai, collecte système, chiffrement, encodage des noms de fichiers, modification du MOTD. Les builders appliquent des modes de chiffrement (full/partial/header) et listes d’exclusion selon la configuration par défaut ou des règles par extension en override.

IOCs et TTPs extraits

  • IOCs: non fournis dans l’extrait.
  • TTPs:
    • Modèle RaaS avec DLS, RansomBay, recrutement sur BreachForums/RAMP/Exploit.
    • BYOVD pour terminaison de processus (option UI retirée mais fonctionnalité active).
    • ChaCha8 pour déchiffrement du config embarqué.
    • Chiffrement full/partial/header avec override par extension; métadonnées appendues (Encryption Ratio sur 4 octets, taille 537 octets).
    • Variantes Windows et Linux (ESXi/NAS/RHEL); ESXi: shutdown VM + collecte d’infos.
    • Linux: exécution en daemon (-d), logging, delayed start, system info, encodage des noms, modification du MOTD.

Type d’article : analyse de menace détaillant l’écosystème, les capacités techniques et l’activité opérationnelle de DragonForce 🎯

🧠 TTPs et IOCs détectés

TTP

Modèle RaaS avec DLS, RansomBay, recrutement sur BreachForums/RAMP/Exploit; BYOVD pour terminaison de processus (option UI retirée mais fonctionnalité active); ChaCha8 pour déchiffrement du config embarqué; Chiffrement full/partial/header avec override par extension; métadonnées appendues (Encryption Ratio sur 4 octets, taille 537 octets); Variantes Windows et Linux (ESXi/NAS/RHEL); ESXi: shutdown VM + collecte d’infos; Linux: exécution en daemon (-d), logging, delayed start, system info, encodage des noms, modification du MOTD.

IOC

non fournis dans l’extrait.

🔗 Source originale : https://medium.com/s2wblog/inside-the-ecosystem-operations-dragonforce-11048db4cbb0