🔍 Contexte

Publié le 25 mars 2026 par la CyberProof Research Team (Niranjan Jayanand, Veena Sagar, Karthik Joseph, Archana Manoharan), cet article présente une analyse technique approfondie d’une campagne PXA Stealer observée au Q1 2026, ciblant principalement des institutions financières mondiales.

📈 Contexte de la menace

Suite aux démantèlements en 2025 des infostealers majeurs (Lumma, Rhadamanthys, RedLine), PXA Stealer a comblé le vide laissé avec une croissance estimée de 8 à 10%. Cette campagne présente des différences par rapport aux recherches publiques précédentes d’août 2025, notamment via le cluster identifié par le BOT_ID « Verymuchxbot ».

⚙️ Chaîne d’attaque

1. Accès initial :

  • Emails de phishing contenant des URLs malveillantes déclenchant le téléchargement d’archives ZIP
  • Leurres variés : CV, installateurs Adobe Photoshop, formulaires fiscaux, documents juridiques
  • Fichier malveillant : Pumaproject.zip téléchargé depuis downloadtheproject[.]xyz

2. Exécution :

  • L’utilisateur exécute Document.docx.exe qui déploie un interpréteur Python, des bibliothèques et des scripts
  • Exécution de inter.cmd depuis un répertoire caché
  • Un document Word légitime (Document.docx) est utilisé pour le sideloading DLL (c2r64.dll)

3. Obfuscation et déploiement :

  • Création d’un dossier caché nommé « Dots »
  • Certutil utilisé pour décoder un fichier en archive chiffrée nommée Shodan.pdf (extension trompeuse)
  • WinRAR légitime renommé picture.png pour décompresser l’archive avec le mot de passe « shodan2201 »
  • Fichiers extraits vers C:\Users\Public\WindowsSecure
  • L’interpréteur Python portable est renommé svchost.exe pour masquer son activité
  • Script Python fortement obfusqué déguisé en images.png, lancé avec l’argument $BOT_ID (« Verymuchxbot » ou « Ken1 »)

4. Collecte et exfiltration :

  • Injection dans les navigateurs pour voler credentials, données de navigation, wallets crypto
  • Interception de données sur des sites ciblés
  • Exfiltration via canaux Telegram (t.me)

5. Persistance :

  • Ajout d’une entrée de registre pour la persistance

🎯 Techniques notables

  • Abus de LOLBins (certutil, WinRAR)
  • DLL sideloading via document Word légitime
  • Renommage de binaires légitimes (Python → svchost.exe, WinRAR → picture.png)
  • Double extension trompeuse (Document.docx.exe)
  • Scripts obfusqués déguisés en images

📄 Nature de l’article

Il s’agit d’une analyse technique publiée par une équipe MDR/Threat Research, dont le but principal est de documenter la chaîne d’attaque complète du PXA Stealer, partager les IoCs et les requêtes de threat hunting pour permettre à la communauté de détecter et bloquer cette menace.

🧠 TTPs et IOCs détectés

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1564.001 — Hide Artifacts: Hidden Files and Directories (Defense Evasion)
  • T1218 — System Binary Proxy Execution (Defense Evasion)

IOC

  • IPv4 : 146.112.56.140
  • IPv4 : 151.243.109.125
  • Domaines : downloadtheproject.xyz
  • URLs : https://downloadtheproject.xyz/Pumaproject.zip
  • URLs : https://downloadtheproject.xyz/Puma-job.zip
  • URLs : https://downloadtheproject.xyz/Marketing-Puma!.zip
  • SHA256 : a8c0b8b5a892198aef71fa68d0a0eb88d3e8d5c541ad6a1ecf5baa0bc95fc403
  • SHA256 : 23b122deea347dbe2407c1542c1cc6caaafca537eb5d1950a4ed7c8a69395dbb
  • SHA256 : d30a4d0249b5417af02a4e7ffb5b456efd8cd5eb8da6532329ae071f643e5079
  • SHA256 : 10955134b4e8dc41b2a116ab41d17b0ef0985bea99bdc5f0e5a11a07728905ec
  • SHA256 : 100a7674ece92dae0dc0bfde15dfb524939a8dd0c295ff2e232895a07e21342f
  • SHA256 : 8de1c5a66deab8bd4f59b2801a66f503f087345ccb0598c5ca8185f1edb2092b
  • SHA256 : e1f6c80aae41feed9acfc62f1e1d83077ce6fda4bed56ffb448fe132a1c97afe
  • SHA256 : 2255735d78b9ca0a20cbd2834876f4d17d68cfe4d7a83608490e6c3c8291ec9b
  • SHA256 : 79471f93e15e04e6b7879a09de79d35b0a5b50ca9beb5b740fdae5d783d5616d
  • SHA256 : 61a163ae3cac1255c852a37c675edd5d696c710f62e3a7f7c618c4733d67cc13
  • SHA256 : 47b4c3dd3bc58037de31f3ee218d4ea16b6ee7e492e4c573381393dedbfec94d
  • SHA256 : 386981b3cd77df33b60cd9b9d93a7812edee9e57699eea7371234acd40a34cac
  • SHA256 : a534676c0dcf8d63eb1f7cbcd0bd5f350f1939d88e38cc825dfe5c50926344d6
  • SHA256 : 6f5a040c83d490e30ea9b242c962d17957ee3e3e7b106727b77ce98bf80c0e1b
  • SHA256 : 3324c1c827428a212e2c9898d082037e4b14ef9a1a69b3d39a8dda04e1d119bf
  • SHA256 : 0c19f07cec233481e8efcf722f2b29fd5991a68b994e76d48212b098ac599560
  • SHA256 : fd50bc23272f3704762218ba43ce068b00d68afd8a75ce8c194ab3bb4c64c152
  • SHA256 : d240282856829133ec8f5ddd712fb49c88528f1c4df15e1d4c92d71fe1223761
  • SHA256 : 5d7d338c4cdd706a01de1ec32a08c5f4690dcef7d7e265096010b276649fb529
  • SHA256 : fd5fd153bded23ffac1a4dd2bbb38c78d85b44735555d96c6c763c4d466e074f
  • Fichiers : Pumaproject.zip
  • Fichiers : Document.docx.exe
  • Fichiers : Document.docx
  • Fichiers : inter.cmd
  • Fichiers : Shodan.pdf
  • Fichiers : picture.png
  • Fichiers : images.png
  • Fichiers : c2r64.dll
  • Fichiers : Puma-job.zip
  • Fichiers : Marketing-Puma!.zip
  • Chemins : C:\Users\Public\WindowsSecure\svchost.exe

Malware / Outils

  • PXA Stealer (stealer)
  • Lumma (stealer)
  • Rhadamanthys (stealer)
  • RedLine (stealer)
  • WinRAR (tool)
  • certutil (tool)

🔗 Source originale : https://www.cyberproof.com/blog/a-deep-dive-into-pxa-stealer/