BlueVoyant rapporte, via son SOC, la découverte d’un nouveau backdoor (A0Backdoor) utilisé dans des opérations d’usurpation Microsoft Teams et d’abus de Quick Assist, actives au moins d’août 2025 à fin février 2026.

  • Le cœur de l’évolution est un canal C2 DNS basé sur des enregistrements MX. Le malware génère des sous-domaines à forte entropie par requête (portant des métadonnées de beacon), envoie des requêtes MX, puis décode la gauche du label “exchange” retourné par l’autorité DNS, où sont encodées les commandes/configurations via un alphabet alphanumérique sûr pour les domaines. L’usage de MX vise à se fondre dans le trafic légitime et à éviter les contrôles focalisés sur le tunnel DNS TXT. Les endpoints ne contactent que des resolveurs publics de confiance (ex. 1.1.1.1, 8.8.8.8), les réponses étant servies par des zones autoritatives contrôlées par l’attaquant (self-hosted ns1/ns2 ou Cloudflare) 🎯.

  • Les opérateurs n’émettent pas de domaines générés algorithmiquement et préfèrent réactiver/racheter des noms courts et historiqués, limitant les signaux de NRD/DGA. Plusieurs échantillons montrent une re‑registration suivie d’une mise à jour des NS vers ns1/ns2, signe d’un service autoritatif auto‑hébergé. Ce schéma permet des réponses MX façonnées à la demande et une livraison rapide de payloads encodés, tout en gardant les connexions directes à l’infra adversaire hors des hôtes 🧩.

  • La chaîne d’intrusion recoupe les vagues précédentes attribuées à Blitz Brigantine (a.k.a. Storm‑1811, STAC5777) et liées à Black Basta/Cactus: email bombing → usurpation IT sur Teams → abus de Quick Assist. La livraison se fait via des MSI se faisant passer pour Microsoft/Teams (Update.msi/UpdateFX.msi, Teams Phone Link, Cross Device Add‑in), signés avec des certificats de signature de code (rotations observées, horodatées pour préserver la confiance jusqu’à révocation). Les installateurs Advanced Installer proviennent de liens Microsoft‑hosted tokenisés (my[.]microsoftpersonalcontent[.]com). La sideloading DLL reste constante: binaires Microsoft légitimes + DLL malveillantes (ex. hostfxr.dll, variante « Microsoft Edge Domain Actions Component » domain_actions.dll, zlib1.dll, sqlite3.dll). Les dernières itérations pivotent le sideload vers CrossDeviceService; la nouveauté majeure est l’emploi d’A0Backdoor et le C2 DNS MX (plutôt que backconnect 443/SystemBC/TitanPlus) 🧪.

  • Attribution & ciblage: activité continue depuis au moins 08/2025; forte cohérence avec le modus operandi déjà documenté. La victimologie reflète des attaques contre les secteurs finance et santé, incluant des professionnels d’une institution financière au Canada et d’une organisation à visée santé mondiale. Les opérateurs s’appuient sur la reachabilité cross‑tenant Teams et une reconnaissance open‑source pour des usurpations 1‑to‑1 crédibles.

  • Il s’agit d’une analyse de menace visant à documenter une évolution de campagne: mêmes vecteurs d’accès et empaquetages Microsoft‑thématisés, mais une pérennisation de la confiance (certificats publics, rotation/horodatage) et un changement de C2 vers DNS MX pour contourner les détections antérieures.

Indicateurs de compromission (IOCs)

  • 0c99481dcacda99014e1eeef2e12de3db44b5d b9879ce33204d3c65469e969ff - Update.msi
  • 26db06a2319c09918225e59c404448d92fe31 262834d70090e941093e6bb650a - hostfxr.dll
  • fsdgh[.]com
  • my[.]microsoftpersonalcontent[.]com

Tactiques, techniques et procédures (MITRE ATT&CK)

  • T1667 (Email Bombing)
  • T1204.001 (User Execution: Malicious Link)
  • T1574.002 (DLL Side-Loading)
  • T1116 (Code Signing)
  • T1027.002 (Software Packing)
  • T1497 (Virtualization/Sandbox Evasion)
  • T1140 (Deobfuscate/Decode Files or Information)
  • T1071.004 (DNS)
  • T1082 (System Information Discovery)
  • T1480.001 (Environmental Keying)
  • T1027.009 (Embedded Payloads)
  • T1572 (Protocol Tunneling)
  • T1105 (Ingress Tool Transfer)
  • T1132.002 (Non-Standard Encoding)
  • T1622 (Debugger Evasion)

🧠 TTPs et IOCs détectés

TTP

[‘T1667 (Email Bombing)’, ‘T1204.001 (User Execution: Malicious Link)’, ‘T1574.002 (DLL Side-Loading)’, ‘T1116 (Code Signing)’, ‘T1027.002 (Software Packing)’, ‘T1497 (Virtualization/Sandbox Evasion)’, ‘T1140 (Deobfuscate/Decode Files or Information)’, ‘T1071.004 (DNS)’, ‘T1082 (System Information Discovery)’, ‘T1480.001 (Environmental Keying)’, ‘T1027.009 (Embedded Payloads)’, ‘T1572 (Protocol Tunneling)’, ‘T1105 (Ingress Tool Transfer)’, ‘T1132.002 (Non-Standard Encoding)’, ‘T1622 (Debugger Evasion)’]

IOC

[‘0c99481dcacda99014e1eeef2e12de3db44b5d’, ‘b9879ce33204d3c65469e969ff’, ‘26db06a2319c09918225e59c404448d92fe31’, ‘262834d70090e941093e6bb650a’, ‘fsdgh[.]com’, ‘my[.]microsoftpersonalcontent[.]com’]

🔗 Source originale : https://www.bluevoyant.com/blog/new-a0backdoor-linked-to-teams-impersonation-and-quick-assist-social-engineering