Selon Cyderes – Howler Cell Threat Research Team (publié le 16 février 2026), 0APT est un ransomware écrit en Rust apparu avec une campagne de bluff revendiquant plus de 200 victimes, mais sans preuves vérifiables; l’équipe a néanmoins confirmé l’existence d’une plateforme RaaS fonctionnelle et de charges malveillantes opérationnelles.

Cyderes souligne des doutes sur la crédibilité des fuites: un site onion listait de nombreuses victimes avant de disparaître, la section « leaks » du panneau RaaS propose des archives prétendument volumineuses qui ne se téléchargent pas, et aucune capture de données compromises n’est fournie. Les annonces massives et rapides (≈200 victimes) sans artefacts contredisent les pratiques des groupes de rançongiciels matures, renforçant l’hypothèse d’une campagne de bluff destinée à impressionner.

Malgré ce manque de preuves d’intrusions, les chercheurs confirment que 0APT dispose d’une plateforme RaaS active: génération de builds personnalisés par affilié (clés de build/ID uniques), modèle de partage des profits, et délégation des négociations aux affiliés. L’objectif semble être de constituer une base d’affiliés et d’opérer une activité cybercriminelle structurée.

Sur le plan technique, 0APT met en œuvre un schéma hybride RSA-OAEP + AES‑256 (flux type CTR) : génération d’une clé AES-256 et d’un IV, chiffrement des fichiers, stockage structuré (longueur, clé AES chiffrée RSA, IV, données chiffrées) et renommage en .0apt. Il charge une configuration depuis Config2.txt (exclusions d’extensions/dossiers, taille max, threads), utilise une clé publique RSA 2048 bits par défaut si public_key.pem est absent, peut chiffrer une liste ciblée via allpath.txt, dépose un README0apt.txt.0apt par dossier et installe un fond d’écran (embedded_wallpaper.png). Aucun mécanisme de persistance, de propagation réseau ou d’évasion avancée n’a été observé, suggérant des intrusions ciblées et manuelles. Des chaînes de log en hindi sont présentes (indice linguistique non attributif).

IOCs et TTPs:

  • IOCs: SHA256 échantillon 3dc4593b14879cb0bb4dc19e85816f09ff6a5f4db8c2957331b557af1fa1a375; domaine TOR hxxp://oaptxiyisljt2kv3we2we34kuudmqda7f2geffoylzpeo7ourhtz4dad[.]onion/; extensions/fichiers: .0apt, Config2.txt, allpath.txt, public_key.pem, README0apt.txt.0apt, embedded_wallpaper.png; clé publique RSA par défaut intégrée (2048 bits).
  • TTPs: modèle RaaS avec builds personnalisés et affiliés; chiffrement de fichiers pour impact (hybride RSA‑OAEP + AES‑256 en mode flux); renommage des fichiers chiffrés; drop de note de rançon et changement de fond d’écran; exclusions d’extensions/dossiers et contraintes de ressources (RAM minimale, parallélisme); absence de persistance et d’auto‑propagation; panneau onion présentant des « fuites » non vérifiables. 🔐

Il s’agit d’une analyse technique visant à documenter la crédibilité de la campagne, la maturité de la plateforme RaaS et les capacités du binaire 0APT.

🧠 TTPs et IOCs détectés

TTP

modèle RaaS avec builds personnalisés et affiliés; chiffrement de fichiers pour impact (hybride RSA-OAEP + AES-256 en mode flux); renommage des fichiers chiffrés; drop de note de rançon et changement de fond d’écran; exclusions d’extensions/dossiers et contraintes de ressources (RAM minimale, parallélisme); absence de persistance et d’auto-propagation; panneau onion présentant des « fuites » non vérifiables.

IOC

SHA256 échantillon 3dc4593b14879cb0bb4dc19e85816f09ff6a5f4db8c2957331b557af1fa1a375; domaine TOR hxxp://oaptxiyisljt2kv3we2we34kuudmqda7f2geffoylzpeo7ourhtz4dad[.]onion/; extensions/fichiers: .0apt, Config2.txt, allpath.txt, public_key.pem, README0apt.txt.0apt, embedded_wallpaper.png; clé publique RSA par défaut intégrée (2048 bits).

🔗 Source originale : https://www.cyderes.com/howler-cell/0apt-bluff-campaign-evolves-into-potential-threat