🔍 Contexte

Publié le 1 avril 2026 par l’équipe GReAT de Kaspersky, cet article présente l’analyse d’un nouveau cheval de Troie d’accès à distance (RAT) nommé CrystalX, découvert en mars 2026 sur des canaux Telegram privés. Le malware est distribué selon un modèle malware-as-a-service (MaaS) avec trois niveaux d’abonnement.

🧬 Origine et évolution

  • Première mention en janvier 2026 dans un chat Telegram privé pour développeurs de RAT, sous le nom WebCrystal RAT
  • Identifié comme un clone de WebRat, un RAT préexistant
  • Rebaptisé CrystalX RAT peu après, avec création d’un canal Telegram dédié pour sa commercialisation
  • Des vidéos tutorielles publiées sur YouTube sous couvert de « fins éducatives » facilitent son utilisation

💣 Capacités malveillantes

Vol de données et surveillance :

  • Vol d’identifiants pour Steam, Discord, Telegram et tous les navigateurs basés sur Chromium
  • Keylogger intégré
  • Surveillance et modification du presse-papiers (clipboard hijacking pour détournement d’adresses de wallets crypto)
  • Accès à distance à l’écran, à la caméra et au microphone avec enregistrement vidéo et audio

Fonctions de contrôle et de canular (prank) :

  • Rotation de l’écran (90°, 180°, 270°)
  • Inversion des boutons de souris
  • Blocage du clavier et de l’affichage
  • Désactivation du Gestionnaire des tâches, de l’invite de commandes et de la barre des tâches Windows
  • Affichage de notifications personnalisées, chat avec la victime, changement de fond d’écran

🛡️ Mécanismes d’évasion

  • Chiffrement ChaCha20 avec clé 256 bits et nonce 96 bits, précédé d’une compression zlib
  • Génération de versions uniques pour chaque client via le panneau de contrôle
  • Détection de machines virtuelles et d’environnements de débogage/analyse
  • Options de filtrage géographique et de configuration d’icône d’exécutable

🌍 Victimologie

  • Vecteur d’infection initial inconnu
  • Victimes identifiées par télémétrie principalement localisées en Russie
  • Nouvelles versions détectées en continu, indiquant une menace en rapide évolution

📄 Nature de l’article

Il s’agit d’une analyse de menace publiée par Kaspersky GReAT, visant à documenter les capacités techniques de CrystalX RAT, son modèle de distribution MaaS et ses mécanismes d’évasion, à destination des professionnels de la cybersécurité et du grand public.

🧠 TTPs et IOCs détectés

TTP

  • T1219 — Remote Access Software (Command and Control)
  • T1056.001 — Keylogging (Collection)
  • T1115 — Clipboard Data (Collection)
  • T1417 — Input Capture (Collection)
  • T1555.003 — Credentials from Web Browsers (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1113 — Screen Capture (Collection)
  • T1125 — Video Capture (Collection)
  • T1123 — Audio Capture (Collection)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1562.001 — Disable or Modify Tools (Defense Evasion)
  • T1583.006 — Web Services (Resource Development)

Malware / Outils

  • CrystalX RAT (rat)
  • WebCrystal RAT (rat)
  • WebRat (rat)

🔗 Source originale : https://www.kaspersky.com/blog/prankware-crystalx-rat-maas/55537/