🔍 Contexte

En mars 2026, l’équipe Threat Response Unit (TRU) d’eSentire a détecté EtherRAT dans l’environnement d’un client du secteur Retail. Ce backdoor Node.js est lié par Sysdig à un groupe APT nord-coréen via des recoupements avec les TTPs de la campagne “Contagious Interview”.

🎯 Vecteur d’accès initial

L’accès initial a été réalisé via ClickFix, exploitant une technique d’exécution indirecte de commandes :

  • pcalua.exe (LOLBin) est utilisé pour exécuter mshta.exe
  • Récupération d’un script HTA malveillant “shep.hta” depuis le site compromis www-flow-submission-management.shepherdsestates.uk
  • Obfuscation de la ligne de commande via le caractère ^

Dans d’autres incidents, TRU observe principalement des arnaques IT Support via Microsoft Teams suivies de l’utilisation de QuickAssist.

⚙️ Chaîne d’infection (3 stages)

Stage 1 : Script Node.js qui déchiffre le stage suivant via AES-256-CBC depuis le fichier aeJ8aMT9ogQtKEb.dat et l’exécute en mémoire via module._compile().

Stage 2 : Obfusqué via Obfuscator.io, déchiffre et lance EtherRAT depuis 2htgIPQLUYA3aWq.cfg, écrit le payload sous TLHA1IlxoF.bin, et établit la persistance via la clé de registre HKCU Run en utilisant conhost.exe --headless pour proxy-exécuter node.exe.

Stage 3 (EtherRAT) : Backdoor Node.js final qui :

  • Récupère l’adresse C2 via EtherHiding (smart contract Ethereum 0xe26c57b7fa8de030238b0a71b3d063397ac127d3)
  • Balise le C2 via des URLs CDN-like (format /api/<hex>/<UUID>/<hex>.<ext>?<param>=<build_id>)
  • Se réobfusque en envoyant son propre code source au C2 et en se réécrivant
  • Journalise dans %APPDATA%\svchost.log si le mode debug est activé

🔗 EtherHiding - C2 via Blockchain Ethereum

Le smart contract Ethereum 0xe26c57b7fa8de030238b0a71b3d063397ac127d3 est utilisé pour stocker et mettre à jour les adresses C2. EtherRAT interroge 9 fournisseurs RPC publics en parallèle et sélectionne l’adresse C2 majoritaire. Cette technique rend le C2 résistant aux takedowns.

🕵️ Module SYS_INFO - Sélection de cibles

Le C2 aurineuroth.com (185.218.19.162) a retourné un module SYS_INFO effectuant un fingerprinting extensif :

  • Vérification de langue CIS (russe, biélorusse, kazakh, kirghiz, tadjik, ouzbek, arménien, azerbaïdjanais, géorgien) → auto-destruction si correspondance
  • Collecte : IP publique, CPU, username, hostname, OS, RAM, MAC, GPU, antivirus installé, domaine AD, MachineGuid, informations sur les disques

🏭 Secteurs ciblés

Le smart contract Ethereum a été associé à des attaques contre des clients dans les secteurs Retail, Business Services, Software et Finance.

🔗 Liens avec d’autres malwares

Des similarités significatives ont été identifiées avec le botnet Tsundere (MaaS) : commandes OS fingerprinting identiques, vérification de langue CIS, vecteurs ClickFix/IT Support, usage d’Obfuscator.io.

📋 Type d’article

Il s’agit d’une analyse technique approfondie publiée par eSentire TRU, visant à documenter les TTPs, la chaîne d’infection complète, les IOCs et les mécanismes innovants (EtherHiding, CDN-like beaconing) d’EtherRAT pour alimenter les capacités de détection MDR.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Contagious Interview (state-sponsored)

TTP

  • T1566 — Phishing (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1218.005 — System Binary Proxy Execution: Mshta (Defense Evasion)
  • T1218 — System Binary Proxy Execution (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1568 — Dynamic Resolution (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1082 — System Information Discovery (Discovery)
  • T1016 — System Network Configuration Discovery (Discovery)
  • T1033 — System Owner/User Discovery (Discovery)
  • T1518.001 — Software Discovery: Security Software Discovery (Discovery)
  • T1069 — Permission Groups Discovery (Discovery)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1553 — Subvert Trust Controls (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)

IOC

  • IPv4 : 185.218.19.162
  • Domaines : shepherdsestates.uk
  • Domaines : www-flow-submission-management.shepherdsestates.uk
  • Domaines : jariosos.com
  • Domaines : hayesmed.com
  • Domaines : regancontrols.com
  • Domaines : salinasrent.com
  • Domaines : justtalken.com
  • Domaines : mebeliotmasiv.com
  • Domaines : euclidrent.com
  • Domaines : o-parana.com
  • Domaines : palshona.com
  • Domaines : aurineuroth.com
  • Domaines : eth.llamarpc.com
  • Domaines : mainnet.gateway.tenderly.co
  • Domaines : rpc.flashbots.net
  • Domaines : rpc.mevblocker.io
  • Domaines : eth-mainnet.public.blastapi.io
  • Domaines : ethereum-rpc.publicnode.com
  • Domaines : rpc.payload.de
  • Domaines : eth.drpc.org
  • Domaines : eth.merkle.io
  • URLs : https://www-flow-submission-management.shepherdsestates.uk/shep.hta
  • URLs : https://aurineuroth.com/api/5f459179/29e96c95-62a5-49e5-a8ba-7ebfbf560ab7/b435a6b1.ico?b=9e2f9c07-f85a-4089-8669-186f56bca7b3
  • URLs : https://nodejs.org/dist/v18.17.0/node-v18.17.0-win-x64.zip
  • URLs : https://api.ipify.org?format=json
  • URLs : https://api.my-ip.io/v2/ip.json
  • URLs : https://api64.ipify.org?format=json
  • SHA256 : 2edf1ab615b489e228a89c617d24f66d1e780a6d5e30f6886608dfe79325acf8
  • SHA256 : 294c597c89023093e1e175949f5104f887b89cd8e1cf1d3192ee9032739f259e
  • SHA256 : 5623f4f8942872b2b7cb6d2674c126a42bdf6ed5d1f37c1afc348529e4697d73
  • SHA256 : b1ee812e7c786c8696f913595658e57706d97a66ca7b7634f421f5c552e7002b
  • SHA256 : 47f74749cfcd55c8dacde2cc9b4c45282bec7a93ee19b7b81b452c99758d3370
  • SHA256 : 03c4e54cc775ab819752dc5d420ab2fed03bd445c3ce398d021031100b334fb4
  • SHA256 : 7dd1bf7a58774a081062f5c8f183d24f95c433805e0bf73280c0adba1c71390d
  • SHA256 : 83b1f11c6a0bd267e415136440559131d2d4ace9a65dc221ea3b144fe0e7199b
  • Fichiers : shep.hta
  • Fichiers : aeJ8aMT9ogQtKEb.dat
  • Fichiers : 2htgIPQLUYA3aWq.cfg
  • Fichiers : TLHA1IlxoF.bin
  • Fichiers : TlHAiIlxoF.bin
  • Fichiers : QE35OO5mUa.zip
  • Fichiers : svchost.log
  • Chemins : %APPDATA%\svchost.log
  • Chemins : C:\Users\<USERNAME>\AppData\Local\Temp\QE35OO5mUa.zip
  • Chemins : C:\Users\<USERNAME>\AppData\Local\VZM5DH
  • Chemins : /etc/machine-id
  • Chemins : /var/lib/dbus/machine-id
  • Chemins : /etc/os-release

Malware / Outils

  • EtherRAT (backdoor)
  • Tsundere (botnet)
  • Obfuscator.io (tool)
  • QuickAssist (tool)
  • mshta.exe (tool)
  • pcalua.exe (tool)
  • conhost.exe (tool)

🔗 Source originale : https://www.esentire.com/blog/etherrat-sys-info-module-c2-on-ethereum-etherhiding-target-selection-cdn-like-beacons