🔍 Contexte

Rapport technique publié le 6 avril 2026 par JUMPSEC, basé sur l’analyse d’un serveur C2 mal configuré, de 15 échantillons de malware et d’un nouveau payload PE. L’analyse s’inscrit dans la continuité des travaux de Symantec, Check Point, Malwarebytes et Recorded Future sur MuddyWater et CastleRAT.

🎯 Acteurs et relation

MuddyWater (alias Seedworm, Mango Sandstorm, TA450, Static Kitten), groupe d’espionnage iranien opérant sous le Ministry of Intelligence and Security (MOIS), est identifié comme client de la plateforme MaaS TAG-150, développée par des cybercriminels russophones. Cette relation est confirmée par trois chaînes de preuves indépendantes.

🧩 Découvertes principales

  • ChainShell : nouveau malware Node.js déployé par reset.ps1 sur le serveur C2 MuddyWater (157.20.182.49). Il résout son C2 via un smart contract Ethereum (10 fournisseurs RPC), communique via WebSocket chiffré AES-256-CBC, et exclut les systèmes CIS de l’infection.
  • CastleRAT Build 120 et Build 13 : deux payloads PE natifs dissimulés dans des images JPEG stéganographiques, partageant des identifiants MaaS communs (s4cfpnXB3SpN6gM8, IsabellaWine), compilés avant l’attaque US/Israël sur l’Iran du 28 février 2026.
  • Chaîne de certificats Amy Cherne : certificat de signature de code (SSL.com) liant StageComp (outil MuddyWater confirmé) aux MSI DinDoor et aux builds CastleRAT via le campaign ID Smokest (userID: bb47c0615477a877).
  • Le serveur exposé contient des commentaires de code en farsi, des listes d’IP israéliennes, un brute-forcer OWA avec commentaires farsi, et un historique bash confirmant l’auto-test des ports 8888 et 9999.

🔗 Chaînes d’attribution

  1. Certificat Amy Cherne → MSI signé → JWT Smokest → noms de tâches CastleRAT (VirtualSmokestGuy120/666)
  2. Serveur 157.20.182.49 → déploie ChainShell (TAG-150) + écoute sur port Build 13
  3. JWT ThreatDown MSI → userID identique aux builds MuddyWater confirmés

🏗️ Plateforme multi-tenant

serialmenot.com est un C2 multi-tenant : le ransomware LeakNet utilise la même base de code Deno avec des configurations différentes. La présence du JavaScript RAT seul ne suffit pas à attribuer à MuddyWater ; l’attribution repose sur la chaîne de certificats et le serveur 157.

📅 Chronologie (jan–mars 2026)

  • 28 février : attaque US/Israël sur l’Iran (avant la compilation des builds)
  • 4 mars : découverte du serveur ouvert par Ctrl-Alt-Intel
  • 11 mars : nouveaux installeurs compilés
  • 16 mars : mise à jour des échantillons JavaScript RAT
  • 17 mars : LeakNet documenté par ReliaQuest sur la même plateforme
  • 19-20 mars : leurre macro contactant l’infrastructure MuddyWater ; phishing ciblant Donald Gay

📄 Type d’article

Publication de recherche technique à visée CTI, documentant un nouveau malware (ChainShell), établissant des chaînes d’attribution binaires et étendant les travaux de plusieurs vendors sur la convergence entre acteurs étatiques iraniens et cybercriminalité russophone.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1027.001 — Obfuscated Files or Information: Binary Padding / Steganography (Defense Evasion)
  • T1102 — Web Service (Command and Control)
  • T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
  • T1110.003 — Brute Force: Password Spraying (Credential Access)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1021.005 — Remote Services: VNC (Lateral Movement)
  • T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1036 — Masquerading (Defense Evasion)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)

IOC

  • IPv4 : 157.20.182.49AbuseIPDB · VT · ThreatFox
  • IPv4 : 23.94.145.120AbuseIPDB · VT · ThreatFox
  • Domaines : serialmenot.comVT · URLhaus · ThreatFox
  • URLs : http://serialmenot.com/mv2/URLhaus
  • SHA256 : 49f17c061a72cadaf9e3f90cc380e994883a965b7a4ad8953d8e8089c65908e6VT · MalwareBazaar
  • SHA256 : 4aaf77c410f1f465d5e9063af60a07ad184e7a92ee87c973c2ea1542bfd66bffVT · MalwareBazaar
  • SHA256 : d91f7a2962c0e9de3cd4ea9c770092d86b1641e89f0a7be2307b6451f00e5271VT · MalwareBazaar
  • SHA256 : 94f05495eb1b2ebe592481e01d3900615040aa02bd1807b705a50e45d7c53444VT · MalwareBazaar
  • SHA256 : a8c380b57cb7c381ca6ba845bd7af7333f52ee4dc4e935e98b48bb81facad72bVT · MalwareBazaar
  • SHA256 : 7ab597ff0b1a5e6916cad1662b49f58231867a1d4fa91a4edf7ecb73c3ec7fe6VT · MalwareBazaar
  • SHA256 : c8589ca999526f247db4d3902ade8a85619f8f82338c6230d1b935f413ddcb3dVT · MalwareBazaar
  • SHA256 : bedb882c6e2cf896e14ecf12c90aaa6638f780017d1b8687a40b4a81956e230fVT · MalwareBazaar
  • Fichiers : reset.ps1
  • Fichiers : sysuu2etiprun.js
  • Fichiers : VfZUSQi6oerKau.js
  • Fichiers : trfr.jpg

Malware / Outils

  • CastleRAT (rat)
  • ChainShell (backdoor)
  • StageComp (backdoor)
  • CastleLoader (loader)
  • Fakeset (loader)
  • DinDoor (rat)
  • Tsundere (rat)

🟢 Indice de vérification factuelle : 75/100 (haute)

  • ⬜ jumpsec.com — source non référencée (0pts)
  • ✅ 15000 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 16 IOCs dont des hashes (15pts)
  • ✅ 3/7 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 15 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : MuddyWater, TAG-150, LeakNet (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 157.20.182.49 (ip) → VT (23/94 détections) + ThreatFox (Sliver)
  • 23.94.145.120 (ip) → VT (14/94 détections) + ThreatFox (CastleRAT)
  • serialmenot.com (domain) → VT (26/94 détections) + ThreatFox (Unknown RAT)

🔗 Source originale : https://www.jumpsec.com/guides/chainshell-muddywater-russian-criminal-infrastructure/