🔍 Contexte
Cette analyse technique a été publiée le 31 mars 2026 par la Microsoft Defender Security Research Team. Elle documente une campagne active observée depuis fin février 2026, exploitant WhatsApp comme vecteur de distribution de fichiers VBScript (VBS) malveillants.
🎯 Chaîne d’infection
La campagne se déroule en quatre étapes distinctes :
- Étape 1 – Accès initial : Des fichiers VBS sont envoyés via WhatsApp. Une fois exécutés, ils créent des dossiers cachés dans
C:\ProgramDataet y déposent des utilitaires Windows légitimes renommés (curl.exe→netapi.dll,bitsadmin.exe→sc.exe) pour se fondre dans l’environnement système. - Étape 2 – Récupération de payloads : Les binaires renommés téléchargent des droppers secondaires (
auxs.vbs,WinUpdate_KB5034231.vbs,2009.vbs) depuis des services cloud légitimes (AWS S3, Tencent Cloud, Backblaze B2), dans un dossier cachéC:\ProgramData\EDS8738. - Étape 3 – Élévation de privilèges et persistance : Le malware tente de contourner l’UAC en lançant
cmd.exeavec des privilèges élevés, modifie la valeur de registreConsentPromptBehaviorAdminsousHKLM\Software\Microsoft\Win, et installe des mécanismes de persistance survivant aux redémarrages. - Étape 4 – Payload final : Des installeurs MSI non signés sont déployés (
Setup.msi,WinRAR.msi,LinkPoint.msi,AnyDesk.msi), permettant un accès distant persistant aux systèmes compromis.
🛠️ Techniques notables
- Living-off-the-land (LOLBAS) : utilisation de
curl.exeetbitsadmin.exerenommés - Hébergement cloud : payloads hébergés sur AWS S3, Tencent Cloud, Backblaze B2
- Bypass UAC via modification du registre
- Discordance PE metadata : les binaires renommés conservent leur champ
OriginalFileNamed’origine, exploitable comme signal de détection
📡 Infrastructure C2
Deux domaines de commande et contrôle ont été identifiés : neescil.top et velthora.top.
📄 Nature de l’article
Il s’agit d’une analyse technique publiée par Microsoft, visant à documenter la chaîne d’infection, fournir des indicateurs de compromission, des requêtes de chasse (KQL) et des détections Microsoft Defender associées.
🧠 TTPs et IOCs détectés
TTP
- T1566 — Phishing via messaging platform (WhatsApp) (Initial Access)
- T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
- T1036.003 — Masquerading: Rename System Utilities (Defense Evasion)
- T1027 — Obfuscated Files or Information (hidden folders/attributes) (Defense Evasion)
- T1105 — Ingress Tool Transfer (Command and Control)
- T1608.001 — Stage Capabilities: Upload Malware (cloud storage) (Resource Development)
- T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
- T1112 — Modify Registry (Defense Evasion)
- T1547 — Boot or Logon Autostart Execution (persistence) (Persistence)
- T1218.007 — System Binary Proxy Execution: Msiexec (Defense Evasion)
- T1219 — Remote Access Software (AnyDesk) (Command and Control)
- T1197 — BITS Jobs (bitsadmin.exe) (Persistence)
IOC
- Domaines :
neescil.top— VT · URLhaus · ThreatFox - Domaines :
velthora.top— VT · URLhaus · ThreatFox - URLs :
https://bafauac.s3.ap-southeast-1.amazonaws.com— URLhaus - URLs :
https://yifubafu.s3.ap-southeast-1.amazonaws.com— URLhaus - URLs :
https://9ding.s3.ap-southeast-1.amazonaws.com— URLhaus - URLs :
https://f005.backblazeb2.com/file/bsbbmks— URLhaus - URLs :
https://sinjiabo-1398259625.cos.ap-singapore.myqcloud.com— URLhaus - SHA256 :
a773bf0d400986f9bcd001c84f2e1a0b614c14d9088f3ba23ddc0c75539dc9e0— VT · MalwareBazaar - SHA256 :
22b82421363026940a565d4ffbb7ce4e7798cdc5f53dda9d3229eb8ef3e0289a— VT · MalwareBazaar - SHA256 :
91ec2ede66c7b4e6d4c8a25ffad4670d5fd7ff1a2d266528548950df2a8a927a— VT · MalwareBazaar - SHA256 :
1735fcb8989c99bc8b9741f2a7dbf9ab42b7855e8e9a395c21f11450c35ebb0c— VT · MalwareBazaar - SHA256 :
5cd4280b7b5a655b611702b574b0b48cd46d7729c9bbdfa907ca0afa55971662— VT · MalwareBazaar - SHA256 :
07c6234b02017ffee2a1740c66e84d1ad2d37f214825169c30c50a0bc2904321— VT · MalwareBazaar - SHA256 :
630dfd5ab55b9f897b54c289941303eb9b0e07f58ca5e925a0fa40f12e752653— VT · MalwareBazaar - SHA256 :
df0136f1d64e61082e247ddb29585d709ac87e06136f848a5c5c84aa23e664a0— VT · MalwareBazaar - SHA256 :
1f726b67223067f6cdc9ff5f14f32c3853e7472cebe954a53134a7bae91329f0— VT · MalwareBazaar - SHA256 :
57bf1c25b7a12d28174e871574d78b4724d575952c48ca094573c19bdcbb935f— VT · MalwareBazaar - SHA256 :
5eaaf281883f01fb2062c5c102e8ff037db7111ba9585b27b3d285f416794548— VT · MalwareBazaar - SHA256 :
613ebc1e89409c909b2ff6ae21635bdfea6d4e118d67216f2c570ba537b216bd— VT · MalwareBazaar - SHA256 :
c9e3fdd90e1661c9f90735dc14679f85985df4a7d0933c53ac3c46ec170fdcfd— VT · MalwareBazaar - SHA256 :
dc3b2db1608239387a36f6e19bba6816a39c93b6aa7329340343a2ab42ccd32d— VT · MalwareBazaar - SHA256 :
a2b9e0887751c3d775adc547f6c76fea3b4a554793059c00082c1c38956badc8— VT · MalwareBazaar - SHA256 :
15a730d22f25f87a081bb2723393e6695d2aab38c0eafe9d7058e36f4f589220— VT · MalwareBazaar - Fichiers :
auxs.vbs - Fichiers :
WinUpdate_KB5034231.vbs - Fichiers :
2009.vbs - Fichiers :
netapi.dll - Fichiers :
sc.exe - Fichiers :
Setup.msi - Fichiers :
WinRAR.msi - Fichiers :
LinkPoint.msi - Fichiers :
AnyDesk.msi - Chemins :
C:\ProgramData\EDS8738\netapi.dll - Chemins :
C:\ProgramData\EDS8738\sc.exe
Malware / Outils
- VBScript dropper (loader)
- auxs.vbs (loader)
- WinUpdate_KB5034231.vbs (loader)
- 2009.vbs (loader)
- AnyDesk (malicious MSI) (rat)
- Setup.msi (backdoor)
- WinRAR.msi (backdoor)
- LinkPoint.msi (backdoor)
🟢 Indice de vérification factuelle : 90/100 (haute)
- ✅ microsoft.com — source reconnue (liste interne) (20pts)
- ✅ 15733 chars — texte complet (fulltext extrait) (15pts)
- ✅ 34 IOCs dont des hashes (15pts)
- ✅ 3/8 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 12 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
91ec2ede66c7b4e6…(sha256) → VT (20/76 détections)neescil.top(domain) → VT (19/94 détections)velthora.top(domain) → VT (17/94 détections)
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/03/31/whatsapp-malware-campaign-delivers-vbs-payloads-msi-backdoors/