🔍 Contexte

Publié le 24 mars 2026 par les chercheurs Mark Tsipershtein et Evgeny Ananin (LevelBlue/SpiderLabs), cet article présente une analyse technique approfondie de MioLab (alias Nova), une plateforme Malware-as-a-Service (MaaS) ciblant exclusivement macOS, activement promue sur des forums russophones.

🎯 Présentation de la menace

MioLab est un infostealer macOS commercialisé avec un panel web, une API complète et un builder visuel. Il supporte les architectures Intel x86-64 et Apple Silicon ARM64, de macOS Sierra à Tahoe. Le payload est écrit en C, pèse environ 100 KB et emploie une obfuscation XOR dynamique à l’exécution.

Capacités principales :

  • Vol de credentials : cookies, mots de passe, historique, autofill (Chromium + Gecko + Safari)
  • Extraction de wallets crypto : 200+ extensions navigateur (MetaMask, Trust Wallet), 50+ wallets desktop (Exodus, Electrum), modules hardware wallet Ledger et Trezor (phrases BIP39 24 mots)
  • Keychain macOS : dump et déchiffrement
  • 15+ gestionnaires de mots de passe (LastPass, Authenticator)
  • Apple Notes : déchiffrement local et exfiltration en clair
  • Messageries : Telegram, Discord
  • FileGrabber configurable (txt, docx, xlsx, pdf, kdbx, etc.)

⚙️ Chaîne d’infection

  1. ClickFix / malvertising : fausse page de documentation Claude Code (Anthropic)
  2. Payload Base64 → curl → dépôt dans /tmp + xattr -c (bypass Gatekeeper)
  3. Fenêtre d’installation DMG avec fausse icône
  4. killall Terminal pour entraver l’analyse
  5. Fausse invite AppleScript imitant System Preferences pour capturer le mot de passe
  6. Vérification via dscl . -authonly
  7. Collecte système via system_profiler
  8. Staging dans $TMPDIR/822c45a52cad26af77ea25f121724999/
  9. Compression ZIP + exfiltration via curl POST vers socifiapp[.]com/api/reports/upload
  10. Faux message d’erreur pour leurrer la victime

🏗️ Infrastructure

  • C2 principal : socifiapp[.]com
  • Panel admin : playavalon[.]org (pivotant vers un drainer Ethereum)
  • IP réelles derrière Cloudflare : 196.251.107[.]171 (nouveau panel) et 196.251.107[.]97 (ancien panel)
  • Hébergeur : FEMO IT Solutions Ltd. / Defhost (bulletproof hosting)
  • Infrastructure réutilisée pour des campagnes de crypto airdrop phishing (drainer Web3)

🔗 Campagne malvertising active

Identifiée par le chercheur Marcelo Rivero (@MarceloRivero), une campagne active distribue MioLab via un clone de la documentation Claude Code (Anthropic). Les instructions Windows restent légitimes pour tromper les analystes ; seuls les utilisateurs macOS reçoivent le payload ClickFix.

📄 Type d’article

Analyse technique détaillée avec IOCs, règles de détection Suricata/Sigma et mapping MITRE ATT&CK, destinée aux équipes CTI et SOC.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • MioLab (cybercriminal)

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.002 — Command and Scripting Interpreter: AppleScript (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1553.001 — Subvert Trust Controls: Gatekeeper Bypass (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1056.002 — Input Capture: GUI Input Capture (Credential Access)
  • T1555.001 — Credentials from Password Stores: Keychain (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1082 — System Information Discovery (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1005 — Data from Local System (Collection)
  • T1560.001 — Archive Collected Data: Archive via Utility (Collection)
  • T1074.001 — Data Staged: Local Data Staging (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1657 — Financial Theft (Impact)

IOC

  • IPv4 : 196.251.107.171
  • IPv4 : 196.251.107.97
  • Domaines : socifiapp.com
  • Domaines : playavalon.org
  • Domaines : wtkqwctkow.icu
  • Domaines : rocqwkeorkcowqkrcw.icu
  • Domaines : adjustservices.com
  • Domaines : approvalmechanism.com
  • Domaines : approve-me.com
  • Domaines : approvecommand.com
  • Domaines : automatic-approval.com
  • Domaines : blindsettlement.com
  • Domaines : bothnationaldomainzones.com
  • Domaines : bucketowlsummary.com
  • Domaines : captainnose.com
  • Domaines : carrotvegetable.com
  • Domaines : certainstoragefeel.com
  • Domaines : charitydome.com
  • Domaines : chopaquarium.com
  • Domaines : command-confirm.com
  • Domaines : command-distributor.com
  • Domaines : commerceapprove.com
  • Domaines : confirm-protocol.com
  • Domaines : cucumbernonsense.com
  • Domaines : displacehaircut.com
  • Domaines : establishtransmission.com
  • Domaines : flexiblefinger.com
  • Domaines : formalpyramid.com
  • Domaines : frontbottle.com
  • Domaines : frozenlilytaxi.com
  • Domaines : horsemanufacturer.com
  • Domaines : importantsquash.com
  • Domaines : insightvariety.com
  • Domaines : itemvalidation.com
  • Domaines : marinemember.com
  • Domaines : memorialapetite.com
  • Domaines : officerelaxation.com
  • Domaines : ovalresponsibility.com
  • Domaines : peaceofmindzone.com
  • Domaines : registrationprotocol.com
  • Domaines : respectableneedle.com
  • Domaines : revisemodule.com
  • Domaines : sculpturecherry.com
  • Domaines : signaturemodule.com
  • Domaines : singleenvironment.com
  • Domaines : standardpoetry.com
  • Domaines : stringmotivation.com
  • Domaines : structurecarry.com
  • Domaines : sunrisefootball.com
  • Domaines : talentedfrog.com
  • Domaines : technicalposition.com
  • Domaines : terminalconfirm.com
  • Domaines : terminalsignature.com
  • Domaines : trackperformer.com
  • Domaines : usefuldrum.com
  • Domaines : welldrawer.com
  • Domaines : wheelchairmoments.com
  • Domaines : decline.top
  • URLs : https://socifiapp.com/api/reports/upload
  • URLs : http://196.251.107.171:3000
  • MD5 : 5c1cd6b18d9cdb7a682560518f0438cc
  • MD5 : 2422f04227fa86a149aed35d82f9a7fc
  • MD5 : c8678739a0301fc2a46bbc7ed8629386
  • MD5 : 620e70d3246fcb75037a005684407e42
  • MD5 : eeaba83f9e5a3922b02ba178c4ae445e
  • MD5 : 581f43161c591c43a3beb6d8e65b091a
  • Fichiers : 822c45a52cad26af77ea25f121724999.zip
  • Fichiers : User Name.txt
  • Fichiers : User Password.txt
  • Fichiers : System Information.txt
  • Fichiers : NoteStore.sqlite
  • Fichiers : login.keychain-db
  • Fichiers : cookies.sqlite
  • Fichiers : formhistory.sqlite
  • Fichiers : key4.db
  • Fichiers : logins.json
  • Fichiers : wallet.dat
  • Chemins : /var/folders/lr/tp2nkd7x0pb0b3769189z9y40000gn/T/822c45a52cad26af77ea25f121724999/
  • Chemins : ~/Library/Keychains/login.keychain-db
  • Chemins : ~/Library/Application Support/Telegram Desktop/tdata
  • Chemins : ~/Library/Application Support/discord/Local Storage/leveldb
  • Chemins : ~/Library/Group Containers/group.com.apple.notes/NoteStore.sqlite
  • Chemins : /Applications/

Malware / Outils

  • MioLab (stealer)
  • Nova Stealer (stealer)

🔗 Source originale : https://www.levelblue.com/blogs/spiderlabs-blog/say-my-name-how-miolab-is-building-macos-stealer-empire