GBHackers rapporte, sur la base des analyses d’Insikt Group, que le groupe financierement motivé “GrayCharlie” (recoupé avec SmartApeSG) détourne des sites WordPress légitimes afin de diffuser NetSupport RAT, puis Stealc et SectopRAT, au moyen de faux écrans de mise à jour de navigateur et de flux ClickFix. Le groupe opère depuis mi‑2023 et recycle des chaînes d’infection, clés de licence et schémas de certificats TLS récurrents.

🧑‍💻 Vecteur et chaîne d’infection:

  • Compromission de sites WordPress puis injection de liens vers du JavaScript hébergé en externe.
  • Redirection des visiteurs vers de faux écrans de mise à jour (Chrome/Edge/Firefox) ou un flux ClickFix avec faux CAPTCHA.
  • Le chargeur s’exécute via WScript, met en scène PowerShell, télécharge et extrait le client NetSupport dans %AppData%, ajoute des clés Run du Registre pour la persistance, puis beacon vers des C2 contrôlés par GrayCharlie.
  • Une fois installé, NetSupport RAT permet surveillance, opérations fichiers et déploiement de charges additionnelles: Stealc (infostealer) et SectopRAT.

🔗 Infrastructure et leurres:

  • Infrastructure stratifiée et étendue, concentrée chez les fournisseurs MivoCloud et HZ Hosting Ltd.
  • Serveurs C2 dédiés à NetSupport, serveurs de staging hébergeant les modèles JavaScript malveillants, et systèmes de niveau supérieur administrant les campagnes (accédés via proxies).
  • Des IP de staging sont liées à des sites usurpant “Wiser University” (thème éducatif Bootstrap gratuit) utilisés comme vitrines/leurrres.

🪤 Évolution ClickFix (2025):

  • Extension à un flux ClickFix où une page WordPress piégée affiche un faux CAPTCHA qui copie en silence une commande PowerShell dans le presse‑papiers et incite l’utilisateur à l’exécuter via Win+R (Windows Run), menant à l’installation et la persistance de NetSupport RAT.

🎯 Ciblage et possible chaîne d’approvisionnement:

  • Ciblage opportuniste multi‑secteurs; cluster notable de cabinets d’avocats américains dont les sites WordPress chargent du JavaScript malveillant depuis novembre 2025.
  • Des indices suggèrent un vecteur supply‑chain via un prestataire IT/marketing commun, “SMB Team” étant cité comme piste probable (branding et identifiants partagés apparus à l’activation de l’infrastructure malveillante).

🛡️ Mesures proposées par Insikt Group:

  • Blocage agressif des IP/domaines liés à NetSupport RAT, Stealc, SectopRAT et outils associés à GrayCharlie; considérer tout trafic vers des WordPress compromis comme à haut risque jusqu’à remédiation.
  • Déployer/mettre à jour des règles YARA, Snort et Sigma pour détecter les composants NetSupport, les commandes ClickFix et les patterns JavaScript/PowerShell des loaders GrayCharlie, y compris dans les logs historiques.
  • Renforcer les filtrages web/email, surveiller l’exfiltration vers l’infrastructure malveillante connue et ingérer en continu de nouvelles sources de renseignement GrayCharlie afin d’actualiser détection et blocage.

IOCs et TTPs:

  • Indicateurs mentionnés (non exhaustifs): infrastructures chez MivoCloud, HZ Hosting Ltd; usurpation de “Wiser University”; C2 NetSupport dédiés; serveurs de staging JavaScript.
  • TTPs: compromission WordPressinjection JSredirection faux updates/ClickFixWScriptPowerShell → dépôt dans %AppData%persistance par clés RunC2déploiement Stealc/SectopRAT; usage de proxies, patterns TLS et clés de licence récurrents.

Il s’agit d’une analyse de menace décrivant l’infrastructure, les techniques et les campagnes de GrayCharlie, avec un focus sur la chaîne d’infection et les contre‑mesures recommandées.

🧠 TTPs et IOCs détectés

TTP

Compromission de sites WordPress, injection de JavaScript, redirection vers de faux écrans de mise à jour, utilisation de WScript, exécution de PowerShell, dépôt dans %AppData%, persistance par clés Run du Registre, communication avec C2, déploiement de charges additionnelles (Stealc, SectopRAT), usage de proxies, patterns TLS et clés de licence récurrents.

IOC

Infrastructures chez MivoCloud, HZ Hosting Ltd; usurpation de ‘Wiser University’; C2 NetSupport dédiés; serveurs de staging JavaScript.

🔗 Source originale : https://gbhackers.com/graycharlie-hacks-wordpress/