🧩 Contexte

Publié le 22 mars 2026 sur le dépôt GitHub de BishopFox, le projet Wasm Stager est un toolkit offensif open-source conçu pour la recherche en sécurité offensive. Il exploite le standard WebAssembly System Interface (WASI) pour créer un outil d’accès distant multiplateforme.

🏗️ Architecture

Le toolkit se compose de deux composants principaux :

  • Stager : un runtime WASI qui charge et exécute le module implant avec une intégration système complète
  • Implant : un module Wasm compatible Sliver, offrant des capacités de shell distant et de reconnaissance système

⚙️ Fonctionnement technique

Le stager est configuré à la compilation avec les paramètres suivants :

  • implant-url : URL HTTP depuis laquelle le stager télécharge l’implant
  • sliver-mtls-host : IP du serveur Sliver en écoute mTLS
  • sliver-mtls-port : Port du serveur Sliver mTLS

La connexion de retour vers le serveur C2 utilise mTLS (mutual TLS), avec des certificats (mtls-server-ca-cert.pem, mtls-implant-ca-cert.pem, mtls-implant-ca-key.pem) intégrés dans le code source de l’implant Sliver.

L’implant est servi via HTTP (ex. python3 -m http.server 8887) et le serveur Sliver écoute sur le port 9998.

🎯 Objectif de contournement EDR

L’approche centrale consiste à dissimuler toutes les fonctionnalités malveillantes dans le runtime Wasm, rendant la détection par les EDR traditionnels plus difficile. Le projet supporte la compilation croisée Windows via mingw-w64.

📋 Type d’article

Il s’agit d’une publication de nouveaux outils offensifs open-source par BishopFox, destinée à la communauté de la sécurité offensive et à la recherche sur le contournement des solutions de détection.

🧠 TTPs et IOCs détectés

TTP

  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
  • T1082 — System Information Discovery (Discovery)

IOC

  • IPv4 : 127.0.0.1
  • URLs : http://127.0.0.1:8887/implant.cwasm
  • Fichiers : implant.cwasm
  • Fichiers : mtls-server-ca-cert.pem
  • Fichiers : mtls-implant-ca-cert.pem
  • Fichiers : mtls-implant-ca-key.pem
  • Fichiers : stager
  • Chemins : /certs/
  • Chemins : ~/.sliver/certs/
  • Chemins : bin/release/

Malware / Outils

  • Sliver (framework)
  • Wasm Stager (loader)

🔗 Source originale : https://github.com/BishopFox/sliver-wasm-stager