🛠️ Contexte

Publié le 22 mars 2026 sur GitHub (compte 0xROOTPLS), Fritter est présenté comme un outil offensif open-source, fork lourdement modifié du projet Donut de TheWover et Odzhan.

🔍 Description technique

Fritter est un générateur de shellcode position-independent (PIC) conçu pour l’exécution en mémoire de plusieurs types de charges utiles :

  • VBScript, JScript
  • Exécutables (EXE), DLL
  • Assemblages .NET

L’outil se distingue de Donut par une refonte complète des couches internes :

  • Crypto, compression et résolution d’API entièrement réécrits pour contourner les signatures connues
  • Sortie entièrement polymorphique : chaque génération produit un shellcode unique (stub d’entrée, couche d’encodage, blob loader tous randomisés)
  • Gestion dynamique des permissions mémoire : seule une petite fenêtre de code est exécutable à un instant donné (mode VEH sliding window par défaut via -g 1)
  • Simplifié en x64 uniquement

⚙️ Fonctionnalités notables

  • Support du staging HTTP avec authentification basique
  • Module Overloading via module leurre (-j)
  • Contrôle de l’entropie (noms aléatoires + chiffrement)
  • Fork de thread avec continuation à un offset RVA
  • Formats de sortie multiples : binaire, base64, C, Ruby, Python, PowerShell, C#, Hex

📌 Type d’article

Il s’agit d’une publication de nouveaux outils offensifs à destination de la communauté red team / pentest, dont le but principal est de fournir un générateur de shellcode évasif et résistant aux signatures antivirus et EDR.

🧠 TTPs et IOCs détectés

TTP

  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1218 — System Binary Proxy Execution (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)

IOC

  • URLs : https://github.com/0xROOTPLS/Fritter
  • Fichiers : loader.bin
  • Fichiers : payload.exe
  • Fichiers : implant.dll

Malware / Outils

  • Fritter (tool)
  • Donut (tool)

🔗 Source originale : https://github.com/0xROOTPLS/Fritter