Source: Elastic Security Labs (billet technique) — Les chercheurs détaillent une campagne ClickFix toujours active identifiée début février 2026, utilisant des sites web légitimes compromis pour livrer une chaîne d’infection en cinq étapes culminant avec MIMICRAT, un cheval de Troie d’accès à distance sur mesure.

• Vecteur et leurre: la campagne compromet des sites de confiance (bincheck.io et investonline.in) pour injecter un JavaScript qui affiche une fausse vérification Cloudflare et pousse l’utilisateur à coller/exec un one-liner PowerShell depuis le presse‑papiers. Le leurre est localisé en 17 langues et a touché des victimes dans plusieurs régions (dont une université aux États‑Unis et des utilisateurs sinophones). ✅

• Chaîne d’infection (5 étapes): 1) PowerShell obfusqué qui reconstruit dynamiquement le domaine C2 (xMRi.neTwOrk → 45.13.212.250) et récupère un second script; 2) Bypass ETW/AMSI via réflexion et patch mémoire, puis dépôt/exécution d’un binaire (zbuild.exe); 3) Chargeur Lua 5.4.7 avec déchiffrement XOR d’un script Lua qui décode et lance une shellcode en mémoire; 4) Shellcode apparenté à la famille Meterpreter servant de loader; 5) MIMICRAT (implant natif C/C++), C2 HTTPS sur 443 avec profils HTTP « analytics‑like », table de 22 commandes, vol/impersonation de tokens, tunnel SOCKS5.

• Capacités et C2 de MIMICRAT: Configuration en .data avec clés/paramètres; nom d’hôte C2 RC4‑crypté (d15mawx0xveem1.cloudfront.net), RSA‑1024 pour l’échange de clés de session, AES (IV fixe « abcdefghijklmnop », clé dérivée SHA‑256 d’un aléa runtime) pour le trafic. Profils HTTP GET/POST dédiés (URI, UA, Referer, cookies) et intervalle d’appel de 10s avec jitter configurable. Commandes couvrant gestion fichiers/processus, shell interactif, injection de shellcode, gestion de jetons et proxy SOCKS.

• Infrastructure: Cluster A (45.13.212.250/251) pour la livraison initiale avec domaines en casse mixte (xmri.network, wexmri.cc) et ZIP hébergé; Cluster B (23.227.202.114) observé en post‑exploitation (www.ndibstersoft[.]com); CloudFront (d15mawx0xveem1.cloudfront[.]net) agit comme relais C2 avec les mêmes chemins que ceux du profil GET.

• IOCs, TTPs et détection: Elastic publie des règles YARA et des indicateurs complets. TTPs notables: compromission de sites légitimes, ingénierie sociale ClickFix (exécution manuelle du PowerShell copié), obfuscation PowerShell, bypass ETW/AMSI par réflexion/patch mémoire, exécution en mémoire/fileless via Lua+shellcode, C2 HTTPS profilé/malléable, usurpation de tokens et tunneling SOCKS5. L’article est une publication de recherche technique visant à documenter la chaîne d’infection et partager des IOCs/règles de détection.

• IOCs (extraits):

  • SHA‑256: bcc7a0e53ebc62c77b7b6e3585166bfd7164f65a8115e7c8bda568279ab4f6f1 (Stage 1 PS) ; 5e0a30d8d91d5fd46da73f3e6555936233d870ac789ca7dd64c9d3cc74719f51 (Lua loader) ; a508d0bb583dc6e5f97b6094f8f910b5b6f2b9d5528c04e4dee62c343fce6f4b (MIMICRAT beacon) ; 055336daf2ac9d5bbc329fd52bb539085d00e2302fa75a0c7e9d52f540b28beb (beacon lié)
  • IPs: 45.13.212.251 ; 45.13.212.250 ; 23.227.202.114
  • Domaines: xmri.network ; wexmri.cc ; www.ndibstersoft[.]com ; d15mawx0xveem1.cloudfront[.]net
  • URLs: www.investonline.in/js/jq.php ; backupdailyawss.s3.us-east-1.amazonaws[.]com/rgen.zip

🧠 TTPs et IOCs détectés

TTP

[‘compromission de sites légitimes’, ‘ingénierie sociale ClickFix’, ‘obfuscation PowerShell’, ‘bypass ETW/AMSI par réflexion/patch mémoire’, ’exécution en mémoire/fileless via Lua+shellcode’, ‘C2 HTTPS profilé/malléable’, ‘usurpation de tokens’, ’tunneling SOCKS5’]

IOC

{‘hash’: [‘bcc7a0e53ebc62c77b7b6e3585166bfd7164f65a8115e7c8bda568279ab4f6f1’, ‘5e0a30d8d91d5fd46da73f3e6555936233d870ac789ca7dd64c9d3cc74719f51’, ‘a508d0bb583dc6e5f97b6094f8f910b5b6f2b9d5528c04e4dee62c343fce6f4b’, ‘055336daf2ac9d5bbc329fd52bb539085d00e2302fa75a0c7e9d52f540b28beb’], ‘ip’: [‘45.13.212.251’, ‘45.13.212.250’, ‘23.227.202.114’], ‘domaine’: [‘xmri.network’, ‘wexmri.cc’, ‘www.ndibstersoft.com’, ‘d15mawx0xveem1.cloudfront.net’], ‘url’: [‘www.investonline.in/js/jq.php’, ‘backupdailyawss.s3.us-east-1.amazonaws.com/rgen.zip’]}

🔗 Source originale : https://www.elastic.co/security-labs/mimicrat-custom-rat-mimics-c2-frameworks