🕵️ Contexte

Publié le 1er avril 2026 par Daniel Kelley (Varonis Threat Labs), cet article présente une analyse technique d’un nouvel infostealer nommé Storm, apparu sur des forums cybercriminels clandestins en début d’année 2026.

🦠 Description du malware

Storm est un infostealer vendu sous forme d’abonnement, développé en C++ (MSVC/msbuild), pesant environ 460 Ko, fonctionnant uniquement sous Windows. Sa version actuelle est v0.0.2.0 (Gunnar). Il se distingue par une approche de déchiffrement côté serveur des credentials navigateur, contournant ainsi les outils de sécurité endpoint qui surveillent les accès locaux aux bases de données de credentials.

Principalités collectées :

  • Mots de passe sauvegardés, cookies de session, données autofill, tokens de compte Google, données de carte bancaire, historique de navigation
  • Données de messageries : Telegram, Signal, Discord
  • Portefeuilles crypto : extensions navigateur et applications desktop
  • Documents issus des répertoires utilisateur
  • Captures d’écran multi-moniteurs
  • Informations système

Tout s’exécute en mémoire pour réduire les chances de détection.

🔑 Innovation technique : déchiffrement serveur

Alors que les stealers traditionnels déchiffraient les credentials localement (accès SQLite, chargement de librairies), Storm exfiltre les fichiers chiffrés vers l’infrastructure de l’attaquant. Cette approche contourne notamment le mécanisme App-Bound Encryption introduit dans Chrome 127 (juillet 2024). Storm traite côté serveur les navigateurs Chromium et Gecko (Firefox, Waterfox, Pale Moon), contrairement à StealC V2 qui traite encore Firefox localement.

🍪 Restauration automatique de sessions

Storm automatise la restauration de sessions hijackées : en fournissant un Google Refresh Token et un proxy SOCKS5 géographiquement cohérent, le panneau opérateur restaure silencieusement la session authentifiée de la victime. Cette technique rend le MFA inefficace pour les sessions déjà établies.

🏗️ Infrastructure et organisation

  • Les opérateurs connectent leurs propres VPS aux serveurs centraux de Storm, routant les données volées via leur propre infrastructure
  • Gestion d’équipe : plusieurs workers avec permissions différenciées (accès logs, création de builds, restauration de cookies)
  • Détection automatique de domaines : étiquetage des credentials par service (Google, Facebook, Twitter/X, cPanel)

💰 Tarification

Offre Prix
Démo 7 jours 300 $/semaine
Standard mensuel 900 $/mois
Team (100 opérateurs, 200 builds) 1 800 $/mois

Un crypter supplémentaire est requis. Les builds continuent de fonctionner après expiration de la licence.

🌍 Campagnes actives

Le panneau de logs contenait 1 715 entrées au moment de l’investigation, couvrant l’Inde, les États-Unis, le Brésil, l’Indonésie, l’Équateur, le Vietnam et d’autres pays. Des credentials liés à Google, Facebook, Twitter/X, Coinbase, Binance, Blockchain.com et Crypto.com sont présents.

📋 Indicateurs

  • Handle forum : StormStealer | ID forum : 221756 | Enregistrement : 12/12/2025

📌 Nature de l’article

Il s’agit d’une analyse technique et de menace produite par Varonis Threat Labs, visant à documenter les capacités, l’infrastructure et les méthodes de Storm pour informer les équipes de sécurité.

🧠 TTPs et IOCs détectés

TTP

  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555.003 — Credentials from Web Browsers (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1113 — Screen Capture (Collection)
  • T1005 — Data from Local System (Collection)
  • T1550.004 — Use Alternate Authentication Material: Web Session Cookie (Lateral Movement)
  • T1564.002 — Hide Artifacts: Hidden Users (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1090.001 — Proxy: Internal Proxy (Command and Control)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1083 — File and Directory Discovery (Discovery)

Malware / Outils

  • Storm (stealer)
  • StealC V2 (stealer)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ varonis.com — source non référencée (0pts)
  • ✅ 6159 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 11 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.varonis.com/blog/storm-infostealer?hs_preview=kpiLasCz-210280462761