Selon Securelist (Kaspersky), des chercheurs ont analysé « Arkanix Stealer », un infostealer en C++ et Python opéré en MaaS avec panneau de contrôle, modules configurables et programme de parrainage. Découvert via des annonces de forums en octobre 2025, il a fonctionné plusieurs mois avant que le panel et le Discord ne soient retirés vers décembre 2025. L’outil visait un large spectre de données, du système aux navigateurs, en passant par Telegram, Discord, VPN et fichiers sensibles.
🧬 Python: un loader (souvent PyInstaller/Nuitka) installe des paquets (requests, pycryptodome, psutil, pywin32 sous Windows), enregistre l’hôte via le C2 et télécharge le stealer Python depuis arkanix[.]pw/stealer.py. Les fonctionnalités sont dynamiquement configurables via /api/features/{payload_id}. Avant l’exfiltration, un « dropper » est récupéré depuis /upload_dropper.py. Le stealer collecte: infos système (OS, CPU/GPU, RAM, résolution, layout clavier, fuseau, logiciels/antivirus, détection VPN via ipapi[.]co), données de 22 navigateurs (historique, autofill, mots de passe, cookies, OAuth2 pour Chromium; déchiffrement via DPAPI/AES et recherche de mots-clés bancaires/crypto), Telegram (arrêt du process et zip de tdata), Discord (vol d’identifiants, auto‑diffusion via l’API), VPN (Mullvad, NordVPN, ExpressVPN, ProtonVPN), et fichiers (chemins utilisateur, extensions docs/médias, noms incluant des mots FR comme « motdepasse », « banque », « secret », « compte »). Des modules additionnels sont chargés depuis le C2: Chrome grabber, Wallet patcher (Exodus/Atomic), Extra collector (FileZilla, VPN, Steam, captures d’écran), HVNC au démarrage; ces scripts sont chiffrés AES‑GCM + PBKDF2 (HMAC/SHA256) puis déchiffrés côté hôte. Nettoyage final des artefacts.
🖥️ C++ natif: différences release/debug (release sous VMProtect sans virtualisation; debug avec bot Discord C2 et logs étendus). Anti‑analyse (anti‑sandbox/anti‑debug), patch d’AmsiScanBuffer et EtwEventWrite, collecte RDP (.rdp: hôte, port, utilisateur, mot de passe), comptes gaming (Steam, Epic, Riot, Origin, Unreal Engine, Ubisoft, GOG), captures d’écran par moniteur. Communication C2 via les mêmes endpoints, données chiffrées AES‑GCM + PBKDF2 (clé observée: arkanix_secret_key_v20_2024), User‑Agent: ArkanixStealer/1.0. Intègre en ressource le post‑ex « ChromElevator » (injecteur + payload, syscalls directs, déchiffrement master key navigateur, exfil cookies/mots de passe/web data).
🌐 Campagne et distribution: initialement diffusé par phishing (noms de loaders: steam_account_checker_pro_v1.py, discord_nitro_checker.py, TikTokAccountBotter.exe). Deux domaines C2 via Cloudflare: arkanix[.]pw (IP réelle identifiée) et arkanix[.]ru. Les auteurs ont animé un serveur Discord (annonces, sondages sur fonctionnalités comme « Discord injection »/binding, promesse non tenue d’un crypter), et un programme de parrainage (essai premium 7 jours, heures bonus; premium incluant stealer C++ natif, injection Exodus/Atomic, jusqu’à 10 payloads, support prioritaire). Indices d’un auteur germanophone et de développement assisté par LLM (patterns de structure de code, utils.cpp, commentaires, logs).
🧾 IoCs clés
- Domaines: arkanix[.]pw, arkanix[.]ru
- IPs: 195.246.231[.]60 (arkanix[.]pw), 172.67.186[.]193 (Cloudflare pour arkanix[.]ru)
- Hashes échantillons: Python loader MD5 208fa7e01f72a50334f3d7607f6b82bf; Python stealer MD5 af8fd03c1ec81811acf16d4182f3b5e1; C++ stealer MD5 a3fc46332dcd0a95e336f6927bae8bb7; ChromElevator MD5 3283f8c54a3ddf0bc0d4111cc1f950c0
- Endpoints C2 observés: /api/session/create, /stealer.py, /api/features/{payload_id}, /upload_dropper.py, /delivery, /api/chrome-grabber-template/{payload_id}, /api/wallet-patcher/{payload_id}, /api/extra-collector/{payload_id}, /hvnc
- Artefacts/protocoles: User‑Agent « ArkanixStealer/1.0 »; chiffrement AES‑GCM + PBKDF2; clé observée « arkanix_secret_key_v20_2024 »
🔧 TTPs observées
- Modèle MaaS avec panel, stats, configuration dynamique et programme d’affiliation
- Phishing comme vecteur initial probable; loaders Python obfusqués/bundlés, installation de dépendances à l’exécution
- Vol multi‑sources: navigateurs, Telegram tdata, Discord (identifiants + auto‑diffusion via API), VPN (Mullvad/Nord/Express/Proton), fichiers ciblés, RDP, plateformes gaming, captures d’écran
- Mécanismes anti‑analyse (anti‑sandbox/debug), patch AMSI/ETW, utilisation de ChromElevator et syscalls directs pour post‑ex navigateur
- Persistance/outil: HVNC dans Startup; chiffrement/exfil asynchrone; nettoyage des traces
Type d’article: analyse de menace publiée par Kaspersky/Securelist, visant à documenter les capacités, l’infrastructure et les IoCs de la campagne Arkanix Stealer.
🧠 TTPs et IOCs détectés
TTP
Modèle MaaS avec panel, stats, configuration dynamique et programme d’affiliation; Phishing comme vecteur initial probable; loaders Python obfusqués/bundlés, installation de dépendances à l’exécution; Vol multi-sources: navigateurs, Telegram tdata, Discord (identifiants + auto-diffusion via API), VPN (Mullvad/Nord/Express/Proton), fichiers ciblés, RDP, plateformes gaming, captures d’écran; Mécanismes anti-analyse (anti-sandbox/debug), patch AMSI/ETW, utilisation de ChromElevator et syscalls directs pour post-ex navigateur; Persistance/outil: HVNC dans Startup; chiffrement/exfil asynchrone; nettoyage des traces
IOC
Domaines: arkanix[.]pw, arkanix[.]ru; IPs: 195.246.231[.]60, 172.67.186[.]193; Hashes échantillons: Python loader MD5 208fa7e01f72a50334f3d7607f6b82bf, Python stealer MD5 af8fd03c1ec81811acf16d4182f3b5e1, C++ stealer MD5 a3fc46332dcd0a95e336f6927bae8bb7, ChromElevator MD5 3283f8c54a3ddf0bc0d4111cc1f950c0; Endpoints C2 observés: /api/session/create, /stealer.py, /api/features/{payload_id}, /upload_dropper.py, /delivery, /api/chrome-grabber-template/{payload_id}, /api/wallet-patcher/{payload_id}, /api/extra-collector/{payload_id}, /hvnc; Artefacts/protocoles: User-Agent « ArkanixStealer/1.0 »; chiffrement AES-GCM + PBKDF2; clé observée « arkanix_secret_key_v20_2024 »
🔗 Source originale : https://securelist.com/arkanix-stealer/119006/