🔍 Contexte

Publié le 20 mars 2026 par Nextron Systems, ce rapport présente une analyse technique approfondie de RegPhantom, un rootkit Windows opérant en mode noyau, découvert et suivi sur une période allant de juin à août 2025.

🧩 Description de la menace

RegPhantom est un driver Windows signé (.sys) fonctionnant comme un rootkit furtif. Son mécanisme central repose sur l’utilisation du registre Windows comme canal de communication covert entre un processus usermode et le noyau :

  • Un processus usermode écrit une commande chiffrée XOR en 56 octets dans n’importe quelle clé de registre
  • Le driver intercepte l’écriture via CmRegisterCallback (RegNtPreSetValueKey)
  • Il déchiffre la commande, l’exécute, puis bloque l’écriture (STATUS_ACCESS_DENIED) pour ne laisser aucune trace
  • Le payload PE est chargé de manière réflexive dans une allocation mémoire brute, le rendant invisible dans PsLoadedModuleList

🛡️ Techniques d’obfuscation

Technique Objectif
CFG obfuscation avec prédicats opaques Résistance à l’analyse statique
Obfuscation des appels API Masquage des appels kernel sensibles
Chiffrement XOR des commandes Contournement des signatures
Re-chiffrement post-traitement Aucun plaintext en mémoire
Blocage des écritures registre Pas d’artefacts registre
Encodage XOR des pointeurs de hooks Obfuscation en mémoire
Effacement mémoire post-exécution Suppression des traces du payload
Driver signé valide Contournement du Driver Signature Enforcement

🌐 Attribution

L’attribution est évaluée à confiance modérée vers un acteur China-nexus, basée sur :

  • Deux certificats de signature valides émis à des entreprises chinoises : Guangzhou Xuanfeng Technology Co., Ltd. et Autel Intelligent Technology Corp., Ltd.
  • Majorité des premières soumissions VirusTotal depuis la Chine
  • Timestamps de compilation cohérents avec un fuseau horaire UTC+8
  • Présence de multiples échantillons compilés sur plusieurs mois indiquant une maintenance active

📦 Échantillons

Le corpus comprend 29 échantillons identifiés entre le 18 juin 2025 et le 6 août 2025, avec des noms de fichiers variés (TestDriver.sys, MapDriver.sys, FsFilter.sys, DevDriver.sys, MyDriver.sys, etc.).

📄 Type d’article

Il s’agit d’une analyse technique publiée par un éditeur de sécurité, dont le but principal est de documenter le fonctionnement interne de RegPhantom, fournir des IOCs exploitables et caractériser la famille de malware pour les équipes de détection et de threat intelligence.

🧠 TTPs et IOCs détectés

TTP

  • T1014 — Rootkit (Defense Evasion)
  • T1112 — Modify Registry (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1553.006 — Code Signing: Code Signing Policy Modification (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1070 — Indicator Removal (Defense Evasion)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1547.006 — Boot or Logon Autostart Execution: Kernel Modules and Extensions (Persistence)
  • T1106 — Native API (Execution)

IOC

  • SHA256 : 703dfb12edc6da592e3dfb951ca2d84bf349e6a16ad3a2ab32b275349956e7c4
  • SHA256 : 006e08f1b8cad821f7849c282dc11d317e76ce66a5bcd84053dd5e7752e0606f
  • SHA256 : 5599ec1f3e1eb52a7e0f3b9dbd0c9849cf494c32ed1e50e76c43d2200daa283a
  • SHA256 : 5650f8e0904433247a0cdc68c7b73c68291b52523dad1edb93a9bd7439273698
  • SHA256 : 6606a963beb709da2d87d685d998e126f2a52efaad64eab8bbb5ba70c7ca5194
  • SHA256 : 97876c085318d8606e8478976d98dab77a7e905a87a4b0a27e20d794af25cd4c
  • SHA256 : cb2ed2ece12a675e19f2b537840a2b5d8bcdd1d508ec5c386178e60161d2cfe8
  • SHA256 : b2bbdeb48f60e591d78ddc98fffc9504128e9b948fd58a54c2cfa927ff9db105
  • SHA256 : 218ab4cb7bf3622b4b8d5fa9196d817b91046e1eca84c26091f3f703ab214707
  • SHA256 : 91860b4d03b32a4ca6e8e92856272d953999934e6316f65677a615cbfb8d31d0
  • SHA256 : c55f5339abaf48b9392df67d5b6f6e011d878d7ee848724ad5dbe8c4d898ef23
  • SHA256 : 7c9312ebe2afc299a0835a32700cdd2c5099c228799414c48058c0fb6095df9b
  • SHA256 : 01c3d2a947c56e16718f1f54c0820996dce1d44da25d38b2a9992eb16e6b11e6
  • SHA256 : f6683adcb8a152d31ef1132ee3f4cb818dcf0b5e361f991286f9fb5d2d747afd
  • SHA256 : 7606a3b69488795fe2d71558caab7877ea313425e55a63aebb932d0d92b38aee
  • SHA256 : 32addf18477324f478bf93ac22be65550bc71450c9bc4fe49aa3be22219aae65
  • SHA256 : 0956ec57c3ddcd24c4d61bd6a4dd16b5f1468f701a286e46b761f5be4fc478ac
  • SHA256 : b10d8bb537ab05e51f08d0b942ee9f92f3226d118fcac794d1a7396bbc0b531f
  • SHA256 : 77646afc50ac65756999441ff5879049c51309745fc9eb86d343174ad5601f2c
  • SHA256 : a0c291e8942c8c7fecccff3fbdb65f65c76312d384a73d3748042a319209c91c
  • SHA256 : 6e1254e478d5b7e60a7a6c6c23943884eca59b214d5a8ecdbdea1a0bbd08df58
  • SHA256 : aaed39996db0c5f9b7ebbda773e67aced72100af701bf2cd933c3aae6b31f9ce
  • SHA256 : 2ece92c1b221338b0f37cc033b2a160bb03cd4d3c228f0924fcb7be6c9bbea10
  • SHA256 : f25784a7577f2e4fa254e93458f6c92de66c623a3029c284a39f4076bb8d7046
  • SHA256 : 39eabd51174ae57bcaa05fc50ff7bb704464b97e315f6e03a6a447000463b261
  • SHA256 : 836259c4475e372277b5115f8f4542c4210fd2817aaacd00f0a350b067fde165
  • SHA256 : 8f24be8d38df0d2cec0abf78873b83d2a633b650324e99505993604909a13805
  • SHA256 : f06dacf7f7152c632ed435ab60bb1a8e9e9a7eb5d416eb6419eb4446f7fa821f
  • SHA256 : 1f3d90ed62bf1b4fd501cbd435d2519486b60ad91704b6e38b93da00960cd22d
  • SHA256 : cc123e35363aeace09900bf3de76080eb46f7e04edede742dbdf2d80be129cc0
  • SHA256 : a0eee7cd05ca3dbddb57414df99768c05ade18f9c13fb31e686558e636badf26
  • SHA256 : 9721430672e361eff1f92dd4cc81686635730bc9656f1542411ed2df93dea831
  • Fichiers : MapDriver.sys
  • Fichiers : MyDriver-signed-20250619.sys
  • Fichiers : TestDriver.sys
  • Fichiers : 0629.sys
  • Fichiers : MyDriver.sys
  • Fichiers : MyDriver_0629.sys
  • Fichiers : FsFilter.sys
  • Fichiers : DevDriver.sys
  • Fichiers : 0627.sys
  • Fichiers : poc_trigger.c
  • Fichiers : exploit.EXE
  • Fichiers : hello.sys
  • Fichiers : CFG_deobf.py
  • Fichiers : deobfuscate_calls.py

Malware / Outils

  • RegPhantom (backdoor)

🔗 Source originale : https://www.nextron-systems.com/2026/03/20/regphantom-backdoor-threat-analysis/