🔍 Contexte

Publié le 22 mars 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom), cet article présente une analyse technique détaillée d’un nouveau malware nommé Infostealer.Speagle, attribué à un acteur inconnu désigné Runningcrab.

🎯 Nature de la menace

Speagle est un infostealer 32 bits écrit en .NET qui cible exclusivement les machines sur lesquelles le logiciel légitime Cobra DocGuard (développé par la société chinoise EsafeNet) est installé. Il détourne l’infrastructure de ce logiciel pour masquer ses communications malveillantes en les faisant passer pour des échanges légitimes client-serveur.

🔗 Vecteur d’infection

Le vecteur d’infection reste inconnu, mais plusieurs indices de faible confiance suggèrent une possible attaque de supply chain :

  • Cobra DocGuard a déjà été victime de deux attaques supply chain (2022 et 2023)
  • Le malware utilise un serveur Cobra DocGuard compromis comme C2
  • La fonctionnalité d’auto-suppression exploite un driver légitime Cobra DocGuard (\.FileLock), ce qui pourrait indiquer une livraison via une mise à jour trojanisée

⚙️ Fonctionnement technique

Speagle opère en plusieurs phases :

Phase 1 – Collecte initiale :

  • Nom d’utilisateur Windows, nom de la machine
  • Identifiants Cobra DocGuard (clientId, oldId) via les fichiers UniqueClientCode.ini et PackageInfo.ini
  • Lecture de C:\ProgramData\EstConfig.ini

Phase 2 – Reconnaissance système :

  • Requêtes WMI étendues (processus, services, réseau, tâches planifiées, règles pare-feu, etc.)
  • Listing récursif des fichiers sur les disques locaux, amovibles et réseaux (profondeur 2)
  • Listing des dossiers utilisateurs (Documents, Downloads, Desktop, AppData) jusqu’à profondeur 5

Phase 3 – Vol de données navigateur :

  • Extraction depuis les bases SQLite des navigateurs : historique, formulaires autofill, téléchargements, raccourcis, favoris

Variante spécialisée (SHA256: dcd3f06…) : recherche spécifique de fichiers liés aux missiles balistiques chinois (Dongfeng-27/CSS-X-24, Changjian, mots-clés militaires et aérospatiaux en chinois)

📡 Exfiltration

Les données sont sérialisées en XML, compressées (Deflate), chiffrées en AES-128 CBC (clé dérivée du SHA256 de la chaîne hardcodée kAozqXwNES5yjGcZUlXeI4zigg68aZI4), puis hexlifiées et transmises via HTTP POST avec des en-têtes distinctifs (X-Request-Name, X-Request-ID, X-Request-No, X-Request-Time, User-Agent: Raw HTML Reader).

🗑️ Auto-suppression

Speagle utilise la technique de suppression de fichier en cours d’exécution découverte par Jonas Lykkegaard via SetFileInformationByHandle() (renommage en flux alternatif ADS puis FileDispositionInfo).

🕵️ Attribution

Aucune attribution à un acteur connu. L’acteur est désigné Runningcrab. Les hypothèses retenues sont : acteur étatique ou contractant privé.

📋 Type d’article

Analyse technique approfondie publiée par une équipe de recherche en threat intelligence, visant à documenter un nouveau malware et fournir des IOCs exploitables.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Runningcrab (unknown)
  • Carderbee (state-sponsored)

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1082 — System Information Discovery (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1049 — System Network Connections Discovery (Discovery)
  • T1033 — System Owner/User Discovery (Discovery)
  • T1005 — Data from Local System (Collection)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1012 — Query Registry (Discovery)
  • T1560.001 — Archive Collected Data: Archive via Library (Collection)

IOC

  • IPv4 : 60.30.147.18
  • IPv4 : 222.222.254.165
  • URLs : http://60.30.147.18:8091/CDGServer3/CDGClientDiagnostics?flag=syn_user_policy
  • URLs : http://222.222.254.165:8090/CDGServer3/CDGClientDiagnostics?flag=syn_user_policy
  • SHA256 : 03298f85eaf8880222cf8a83b8ed75d90712c34a8a5299a60f47927ad044b43b
  • SHA256 : dcd3f06093bf34d81837d837c5a5935beb859ba6258e5a80c3a5f95638a13d4d
  • SHA256 : fad8d0307db5328c8b9f283a2cc6f7e4f4333001623fef5bd5c32a1c094bf890
  • SHA256 : d7f167cbf1676c14fd487219447e30fadf26885eb25ec4cafdeabe333bddf877
  • Fichiers : UniqueClientCode.ini
  • Fichiers : PackageInfo.ini
  • Fichiers : EstConfig.ini
  • Chemins : C:\ProgramData\EstConfig.ini
  • Chemins : C:\Program Files\EsafeNet\Cobra DocGuard Client\
  • Chemins : HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Esafenet\CDG System\InstallDir
  • Chemins : HKEY_LOCAL_MACHINE\SOFTWARE\Esafenet\CDG System\InstallDir

Malware / Outils

  • Infostealer.Speagle (stealer)
  • Korplug (backdoor)
  • PlugX (backdoor)

🔗 Source originale : https://www.security.com/threat-intelligence/speagle-cobradocguard-infostealer