🔍 Contexte
Publié le 2 avril 2026 par Hudson Rock sur infostealers.com, ce rapport présente une analyse forensique exhaustive d’un endpoint compromis par le stealer LummaC2 (build du 31 juillet 2024), infecté le 6 août 2024. La machine (DESKTOP-OG1CFR5, IP 192.161.60.132, Windows 10 Enterprise) appartenait à un opérateur nord-coréen travaillant pour le syndicat chinois Funnull.
💀 Vecteur d’infection
L’opérateur a lui-même téléchargé un faux installateur logiciel hébergé sur MediaFire (@#Full_Istaller_Pc_Setup_2024_PaSSWṏrD^$.zip), contenant le payload LummaC2. L’infection a permis l’exfiltration de 100+ credentials, 7 000+ logs de navigation, accès Cloudflare admin et des milliers de traductions Google internes.
🎭 Architecture de personas
L’acteur opérait sous plusieurs identités synthétiques :
- “Koala” (koalaworld20210104@gmail.com) : administration IT globale, AWS, Cloudflare
- “Midas” (midas19910709@gmail.com) : infrastructure OPSEC, communications
- “Ariel Cruz” (ariel.cruz@gate.us) : infiltration de l’exchange crypto Gate.us
- “Brian” (brian@funnull.com, polyfill2@protonmail.com) : administration Funnull et contrôle Polyfill.io
- “Wenyi Han” (dev_wenyi.han@lrtechs.co.jp) : infiltration du prestataire japonais LR Techs
🔗 Lien DPRK ↔ Polyfill.io
Les preuves forensiques établissent une chaîne directe entre l’opérateur et l’attaque supply chain Polyfill.io (juin 2024, 100 000+ sites compromis) :
- Credentials extraits pour le portail DNS Funnull (
kk5yuzmev2qbgulz.com) - Credentials Cloudflare admin pour
polyfill2@protonmail.comcontrôlant le tenant Polyfill - Télémétrie de traduction capturant les directives des handlers chinois pour cacher le code malveillant dans GoEdge CDN
- Communications internes datées du 28 juin 2024 sur le changement de domaine vers
polyfillcache.com
🏦 Infiltration de Gate.us
Sous l’identité “Ariel Cruz”, l’agent a obtenu un rôle administratif dans l’exchange américain Gate.us, participant directement aux réunions Google Meet avec le fournisseur KYC Sumsub et accédant à la plateforme Elliptic. Il a cartographié les angles morts AML/KYC en testant de vrais profils de fugitifs FBI (Bernard Madoff, George Wright, Milovan Bjelica, Saddam Hussein) dans l’environnement de staging.
🇯🇵 Espionnage scientifique au Japon
Via l’infiltration de LR Techs (lrtechs.co.jp), l’acteur a exfiltré des blueprints réseau air-gappé du National Institute for Materials Science (NIMS), institution critique pour la recherche aérospatiale et de défense japonaise, en clonant des documents Google Drive via la fonction copy-filename-input.
💰 Infrastructure de blanchiment crypto
L’acteur a construit un gateway Telegram automatisé pour vendre des nœuds CDN malveillants et blanchir des USDT via le réseau TRON (utilisant feee.io pour la location d’énergie). L’infrastructure C2 repose sur Stark Industries Solutions (hébergeur bulletproof sanctionné par l’UE), lié au cluster Contagious Interview (G1052).
📉 “Cybercriminal PIP”
Malgré l’ampleur des opérations, les handlers chinois ont réduit le salaire de “Brian” à 3 000 USD/mois via un plan d’amélioration des performances formel, pour avoir nécessité “trop d’encadrement”.
📄 Nature de l’article
Il s’agit d’une publication de recherche forensique par Hudson Rock, visant à attribuer définitivement l’attaque Polyfill.io à un acteur DPRK intégré dans le syndicat Funnull, et à documenter l’étendue des opérations d’espionnage et d’infiltration associées.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Contagious Interview (state-sponsored)
- Funnull (cybercriminal)
- Lazarus Group (state-sponsored)
TTP
- T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1204.002 — User Execution: Malicious File (Execution)
- T1078 — Valid Accounts (Defense Evasion)
- T1036 — Masquerading (Defense Evasion)
- T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
- T1555 — Credentials from Password Stores (Credential Access)
- T1056 — Input Capture (Collection)
- T1213 — Data from Information Repositories (Collection)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
- T1534 — Internal Spearphishing (Lateral Movement)
- T1090 — Proxy (Command and Control)
- T1601 — Modify System Image (Defense Evasion)
- T1585.001 — Establish Accounts: Social Media Accounts (Resource Development)
IOC
- IPv4 :
192.161.60.132 - Domaines :
kk5yuzmev2qbgulz.com - Domaines :
cctest.kk5yuzmev2qbgulz.com - Domaines :
t2.funnull.host - Domaines :
funnull.host - Domaines :
stark-industries.solutions - Domaines :
vision.stark-industries.solutions - Domaines :
friday.stark-industries.solutions - Domaines :
polyfillcache.com - Domaines :
feee.io - URLs :
https://www.mediafire.com/file/gflsp6ovigjnvms/@#Full_Istaller_Pc_Setup_2024_PaSSWṏrD^$.zip/file - URLs :
https://gy4q3fpx3gh77gw.kk5yuzmev2qbgulz.com/#/domin/list - Emails :
koalaworld20210104@gmail.com - Emails :
midas19910709@gmail.com - Emails :
ariel.cruz@gate.us - Emails :
brian@funnull.com - Emails :
polyfill2@protonmail.com - Emails :
dev_wenyi.han@lrtechs.co.jp - Fichiers :
@#Full_Istaller_Pc_Setup_2024_PaSSWṏrD^$.zip
Malware / Outils
- LummaC2 (stealer)
🔗 Source originale : https://www.infostealers.com/article/how-one-infostealer-infection-solved-a-global-supply-chain-mystery-and-unmasked-dprk-spies-in-u-s-crypto/