🔍 Contexte

PubliĂ© le 31 mars 2026 par Check Point Research, ce rapport documente l’opĂ©ration TrueChaos, une campagne d’espionnage ciblĂ©e contre des entitĂ©s gouvernementales en Asie du Sud-Est, exploitant une vulnĂ©rabilitĂ© zero-day dans le client TrueConf, une plateforme de vidĂ©oconfĂ©rence on-premises.

🐛 VulnĂ©rabilitĂ© : CVE-2026-3502

  • CVSS score : 7.8
  • La faille rĂ©side dans l’absence de vĂ©rification d’intĂ©gritĂ© et d’authenticitĂ© dans le mĂ©canisme de mise Ă  jour du client TrueConf
  • Un attaquant contrĂŽlant le serveur TrueConf on-premises peut remplacer le paquet de mise Ă  jour lĂ©gitime par un exĂ©cutable arbitraire
  • Le client fait confiance au serveur sans validation, permettant la distribution et l’exĂ©cution de fichiers malveillants sur tous les endpoints connectĂ©s
  • Correctif disponible dans TrueConf Windows client version 8.5.3 (mars 2026)

⚔ DĂ©roulement de l’attaque

  1. L’attaquant compromet le serveur TrueConf on-premises d’un dĂ©partement IT gouvernemental
  2. Il remplace le paquet de mise à jour (trueconf_client.exe) par une version weaponisée
  3. Un lien est envoyé aux cibles pour déclencher le client TrueConf et afficher une invite de mise à jour
  4. Le paquet malveillant (construit avec Inno Setup) installe légitimement la version 8.5.2 tout en déposant :
    • poweriso.exe (binaire bĂ©nin)
    • 7z-x64.dll (implant malveillant) dans c:\programdata\poweriso\
  5. DLL side-loading via poweriso.exe pour charger 7z-x64.dll

đŸ› ïž Post-exploitation

  • Reconnaissance : tasklist, tracert 8.8.8.8
  • TĂ©lĂ©chargement via FTP depuis 47.237.15[.]197 d’un loader iscsiexe.dll dans update.7z
  • Bypass UAC via iscsicpl.exe (SysWOW64) et DLL search-order hijacking
  • Modification du PATH utilisateur : HKCU\environment
  • Persistance via HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck pointant vers PowerISO.exe
  • DĂ©ploiement final d’un implant Havoc communiquant avec l’infrastructure C2 de l’acteur

🎯 Attribution

Check Point Research attribue avec confiance modérée cette opération à un acteur à nexus chinois, sur la base de :

  • TTPs cohĂ©rents avec des opĂ©rations chinoises (DLL sideloading)
  • Infrastructure C2 hĂ©bergĂ©e sur Alibaba Cloud et Tencent
  • Victimologie alignĂ©e avec les intĂ©rĂȘts stratĂ©giques chinois
  • Chevauchement avec l’acteur Amaranth Dragon (usage de Havoc)
  • La mĂȘme victime a Ă©tĂ© ciblĂ©e simultanĂ©ment par ShadowPad

📄 Type d’article

Publication de recherche technique Ă  visĂ©e CTI, documentant une exploitation in-the-wild d’un zero-day, la chaĂźne d’infection complĂšte, l’attribution et les indicateurs de compromission associĂ©s.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • Amaranth Dragon (state-sponsored)

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1574.001 — Hijack Execution Flow: DLL Search Order Hijacking (Persistence)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1057 — Process Discovery (Discovery)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1112 — Modify Registry (Defense Evasion)

IOC

  • IPv4 : 43.134.90.60
  • IPv4 : 43.134.52.221
  • IPv4 : 47.237.15.197
  • MD5 : 22e32bcf113326e366ac480b077067cf
  • MD5 : 9b435ad985b733b64a6d5f39080f4ae0
  • MD5 : 248a4d7d4c48478dcbeade8f7dba80b3
  • CVEs : CVE-2026-3502
  • Fichiers : trueconf_windows_update.exe
  • Fichiers : poweriso.exe
  • Fichiers : 7z-x64.dll
  • Fichiers : iscsiexe.dll
  • Fichiers : update.7z
  • Fichiers : rom.dat
  • Fichiers : winexec.exe
  • Chemins : c:\programdata\poweriso\poweriso.exe
  • Chemins : c:\programdata\poweriso\7z-x64.dll
  • Chemins : %AppData%\Roaming\Adobe\update.7z
  • Chemins : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck

Malware / Outils

  • Havoc (framework)
  • ShadowPad (backdoor)

🔗 Source originale : https://research.checkpoint.com/2026/operation-truechaos-0-day-exploitation-against-southeast-asian-government-targets/