Selon Security Blog (Karsten Hahn et John Dador), cette première partie d’une série en deux volets analyse l’infection initiale observée depuis novembre 2025 après un signalement Reddit, reliant des téléchargements sur le site pirate PiviGames à l’exécution du loader HijackLoader; la seconde partie couvrira le payload ACRStealer.

🎮 Contexte et vecteur: PiviGames, connu pour proposer des liens de jeux PC piratés, charge des scripts Cloudflare pour paraître légitime puis un JavaScript “pgedshop.js” qui orchestre des redirections conditionnées par cookies. La première visite envoie vers hxxps://adbuho[.]shop/HIx0J, puis vers un domaine aléatoire en .pro et enfin une URL MediaFire. L’utilisateur récupère “Full Version Setup 6419 Open.zip” (mot de passe “6419”), qui contient des ressources et un “Setup.exe”. Le lanceur est légitime mais déclenche une infection via DLL sideloading en chargeant Conduit.Broker.dll (HijackLoader).

🧪 Chaîne de chargement (stages) et techniques:

  • Stage 1 (Conduit.Broker.dll): résolution d’API inline par hachage personnalisé, lecture d’un blob chiffré dans “Groumcumgag.ic” (taille et clé XOR 0x1CAB3515), puis module stomping dans la DLL système evr.dll et passage de “Zootkumbak.uhp” comme fichier de configuration.
  • Stage 2 (shellcode dans evr.dll): reconstruction de la configuration à partir de 90 fragments marqués par le motif ‘IDAT’, déchiffrement par XOR et décompression LZNT1; extraction d’un tableau de « modules » (shellcodes/PE/config). Sélection du shellcode principal ti64, puis nouveau module stomping dans %windir%\SysWOW64\rasapi32.dll.
  • Stage 3 (ti64 dans rasapi32.dll): orchestrateur principal utilisant CRC32 pour les imports, nettoyage des hooks inline dans NTDLL, options persistence, anti-VM (si présent), UAC bypass, évasion Defender, copie des fichiers listés vers %ALLUSERSPROFILE%\d0eccdb9 et relance, et déchiffrement du payload (XOR) depuis la configuration.

🧰 Capacités et modules notables: Le module table inclut des composants pour la création de processus, la persistence (modTask/modTask64), bypass UAC (modUAC/modUAC64), évasion Defender (modWD/modWD64), des loaders/injecteurs (ESAL/ESWR/ESLDR en x86/x64), des stubs PE, et des hôtes d’injection configurables: FIXED (zip.exe signé “VMWare Inc” pour Process Doppelgänging) et CUSTOMINJECT (MicrosoftEdgeUpdate.exe déposé en %TEMP%\d0eccdb9\MicrosoftEdgeUpdate.exe). Le champ SM cible “mpr.dll” comme DLL propre pour le module stomping. Le loader propose au moins six méthodes d’exécution/injection, dont process hollowing (2 variantes), process doppelgänging (dont un hybride avec mapped section), mapped section injection, et exécution via ESWR.

🧩 IOCs principaux:

  • Domaines/URLs: hxxps://adbuho[.]shop/HIx0J; redirection vers un domaine aléatoire en “.pro/”; hxxps://pulseadnetwork[.]com/jump/next.php?r=2558259 (réseau publicitaire, non malveillant); lien MediaFire (non détaillé).
  • Archives/fichiers: “Full Version Setup 6419 Open.zip” (mot de passe “6419”); Setup.exe; Conduit.Broker.dll; Groumcumgag.ic (blob à l’offset 0x4A19, clé XOR 0x1CAB3515); Zootkumbak.uhp; cibles de stomping: evr.dll, %windir%\SysWOW64\rasapi32.dll; SM: mpr.dll; FIXED: zip.exe; CUSTOMINJECT: MicrosoftEdgeUpdate.exe → “%TEMP%\d0eccdb9\MicrosoftEdgeUpdate.exe”; répertoire %ALLUSERSPROFILE%\d0eccdb9.
  • Identifiants: MUTEX “RXRCJOIAVDWOEK”; script JS “pgedshop.js” (redirections basées cookies).
  • Listes/artefacts: COPYLIST (Conduit.Broker.dll, D_C.exe, Groumcumgag.ic, TE..dll, Wex..dll, Zootkumbak.uhp, !D_C.exe, ~TE.Loaders.dll).

🛠️ TTPs observées:

  • Malvertising et redirections conditionnelles (cookies) via JavaScript, hébergement de charge sur MediaFire.
  • DLL sideloading par un lanceur légitime; module stomping sur DLLs système (evr.dll, rasapi32.dll, mpr.dll ciblée via SM).
  • Résolution d’API inline par hachage personnalisé puis CRC32 (stage 3).
  • Configuration fragmentée (motif ‘IDAT’), XOR + LZNT1.
  • NTDLL unhooking, options anti-VM, persistence, UAC bypass, évasion Defender.
  • Multiples techniques d’injection: process hollowing, process doppelgänging, mapped section, exécution via ESWR.

Il s’agit d’une analyse technique (partie 1) visant à documenter la chaîne d’infection de HijackLoader depuis PiviGames et la structure interne du loader; la partie 2 détaillera le payload ACRStealer.

🧠 TTPs et IOCs détectés

TTP

[‘Malvertising et redirections conditionnelles via JavaScript’, ‘Hébergement de charge sur MediaFire’, ‘DLL sideloading par un lanceur légitime’, ‘Module stomping sur DLLs système (evr.dll, rasapi32.dll, mpr.dll ciblée via SM)’, ‘Résolution d’API inline par hachage personnalisé puis CRC32’, ‘Configuration fragmentée (motif ‘IDAT’), XOR + LZNT1’, ‘NTDLL unhooking’, ‘Options anti-VM’, ‘Persistence’, ‘UAC bypass’, ‘Évasion Defender’, ‘Techniques d’injection: process hollowing, process doppelgänging, mapped section, exécution via ESWR’]

IOC

[‘Domaines/URLs: hxxps://adbuho[.]shop/HIx0J’, “Redirection vers un domaine aléatoire en ‘.pro/’”, ‘hxxps://pulseadnetwork[.]com/jump/next.php?r=2558259’, ‘Lien MediaFire (non détaillé)’, “Archives/fichiers: Full Version Setup 6419 Open.zip (mot de passe ‘6419’)”, ‘Setup.exe’, ‘Conduit.Broker.dll’, ‘Groumcumgag.ic (blob à l’offset 0x4A19, clé XOR 0x1CAB3515)’, ‘Zootkumbak.uhp’, ‘Cibles de stomping: evr.dll, %windir%\SysWOW64\rasapi32.dll’, ‘SM: mpr.dll’, ‘FIXED: zip.exe’, “CUSTOMINJECT: MicrosoftEdgeUpdate.exe → ‘%TEMP%\d0eccdb9\MicrosoftEdgeUpdate.exe’”, ‘Répertoire %ALLUSERSPROFILE%\d0eccdb9’, “Identifiants: MUTEX ‘RXRCJOIAVDWOEK’”, “Script JS ‘pgedshop.js’ (redirections basées cookies)”, ‘Listes/artefacts: COPYLIST (Conduit.Broker.dll, D_C.exe, Groumcumgag.ic, TE..dll, Wex..dll, Zootkumbak.uhp, !D_C.exe, ~TE.Loaders.dll)’]

🔗 Source originale : https://blog.gdatasoftware.com/2026/02/38373-pivigames-spreads-hijackloader