🔍 Contexte

Publié le 15 avril 2026 par Huntress, cet article de recherche détaille une opération malveillante découverte le 22 mars 2025, impliquant des logiciels potentiellement indésirables (PUP) signés par Dragon Boss Solutions LLC, une entité enregistrée à Sharjah, Émirats Arabes Unis, se présentant comme spécialisée en « search monetization research ».

🎯 Mécanisme d’attaque

Les exécutables signés (ex : RaceCarTwo.exe, ChromsteraUpdater.exe) utilisent Advanced Installer, un mécanisme de mise à jour légitime, pour récupérer et exécuter silencieusement des payloads MSI et PowerShell depuis des serveurs distants. Les fichiers de configuration .ini révèlent des flags critiques :

  • NoUpdaterInstallGUI : aucune interaction utilisateur
  • PerMachine : exécution avec privilèges élevés
  • CheckFrequency=1 : polling fréquent
  • NoDisableAutoCheck : l’utilisateur ne peut pas désactiver les mises à jour

💀 Payload principal : ClockRemoval.ps1

Le script PowerShell ClockRemoval.ps1 constitue le cœur de l’AV killer. Ses capacités incluent :

  • Kill list de processus de sécurité (Malwarebytes, ESET, Kaspersky, etc.) via polling toutes les 100ms pendant 20 secondes
  • Désactivation des services AV via manipulation du registre Windows
  • Blocage de la réinstallation via modification du fichier hosts (redirection vers 0.0.0.0 des domaines AV)
  • Persistance WMI via Win32_ProcessStartTrace (nommée MbRemovalMbSetupKillConsumer)
  • 5 tâches planifiées SYSTEM : ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogon, RemoveClockPeriodic (toutes les 30 min)
  • Exclusions Windows Defender pour des répertoires suspects (DGoogle, EMicrosoft, DDapps)
  • Modification de Chrome avec le flag --simulate-outdated-no-au pour désactiver les mises à jour

🌐 Risque supply chain via domaine non enregistré

Le domaine primaire chromsterabrowser[.]com était non enregistré et configuré comme URL de mise à jour principale. Quiconque l’enregistrait pouvait pousser des payloads arbitraires à tous les hôtes infectés. Huntress a enregistré ce domaine et worldwidewebframework3[.]com en sinkhole, observant 23 565 adresses IP uniques en 24 heures, réparties dans 124 pays.

🏛️ Cibles à haute valeur identifiées

Parmi les 324 infections dans des réseaux sensibles :

  • 221 universités et établissements d’enseignement supérieur
  • 41 réseaux OT (utilities électriques, infrastructures critiques)
  • 35 entités gouvernementales
  • 24 établissements d’enseignement primaire/secondaire
  • 3 organisations de santé
  • Plusieurs entreprises Fortune 500

📊 Type d’article

Il s’agit d’une analyse technique et rapport d’incident produit par Huntress, visant à documenter la chaîne d’attaque complète, partager les IoCs et alerter la communauté sur le risque de supply chain lié aux PUPs signés.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Dragon Boss Solutions LLC (cybercriminal) —

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1546.003 — Event Triggered Execution: Windows Management Instrumentation Event Subscription (Persistence)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1562.004 — Impair Defenses: Disable or Modify System Firewall (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1112 — Modify Registry (Defense Evasion)
  • T1070.006 — Indicator Removal: Timestomp (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1574 — Hijack Execution Flow (Defense Evasion)
  • T1082 — System Information Discovery (Discovery)
  • T1518.001 — Software Discovery: Security Software Discovery (Discovery)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1565.001 — Data Manipulation: Stored Data Manipulation (Impact)
  • T1489 — Service Stop (Impact)
  • T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)

IOC

  • Domaines : worldwidewebuniverse3.comVT · URLhaus · ThreatFox
  • Domaines : worldwidewebframework3.comVT · URLhaus · ThreatFox
  • Domaines : worldwidewebframework2.comVT · URLhaus · ThreatFox
  • Domaines : artificialupdates.comVT · URLhaus · ThreatFox
  • Domaines : dragonstraffic.comVT · URLhaus · ThreatFox
  • Domaines : updaterituals.comVT · URLhaus · ThreatFox
  • Domaines : chromsterabrowser.comVT · URLhaus · ThreatFox
  • Domaines : chromsteraupdates.comVT · URLhaus · ThreatFox
  • Domaines : isready26.onlineVT · URLhaus · ThreatFox
  • URLs : https://dl.isready26.online/image/ldk4945jfds.gifURLhaus
  • SHA256 : 909539d3ef8dedc3be56381256713fa5545cc7fd3d3d0e0428f7efb94a7e71cbVT · MalwareBazaar
  • SHA256 : 40ac30ce1e88c47f317700cc4b5aa0a510f98c89e11c32265971564930418372VT · MalwareBazaar
  • SHA256 : 26ddd0712a101b27b018658b4072ad56bb4083026c797b0345b2cce43862fc83VT · MalwareBazaar
  • SHA256 : feb13087c43406da7f2cea26b003a9b93db0e6b544b10bd57342d5dbbb18ba02VT · MalwareBazaar
  • SHA256 : da6aba50f9908f5f29d877dfaaca1ef6e03d597bb7b52bd294b4ec644fe7e6c0VT · MalwareBazaar
  • Fichiers : RaceCarTwo.exe
  • Fichiers : Setup.msi
  • Fichiers : ClockRemoval.ps1
  • Fichiers : ClockRemoval-WmiBoot.ps1
  • Fichiers : WorldWideWeb.exe
  • Fichiers : UniversalUpdater.exe
  • Fichiers : ChromsteraUpdater.exe
  • Fichiers : ArtificiusUpdater.exe
  • Fichiers : ReadySpaceThree.exe
  • Fichiers : WinDefenseThree.exe
  • Fichiers : SistemaTownOne.exe
  • Fichiers : TableBoatTwo.exe
  • Fichiers : WaveTownFive.exe
  • Fichiers : WinSupportFive.exe
  • Fichiers : WinDefenseFive.exe
  • Fichiers : ProductSetupTwo.exe
  • Fichiers : RaceCarTwo.ini
  • Fichiers : ChromsteraUpdater.ini
  • Fichiers : ldk4945jfds.gif
  • Fichiers : SoftwareDetector.dll
  • Chemins : C:\Program Files (x86)\World Wide Solutions\World Wide Web\
  • Chemins : C:\Program Files (x86)\World Wide Solutions\World Wide Debug\
  • Chemins : C:\Program Files (x86)\WinSupportSixSolutions\WinSupportSix\
  • Chemins : C:\Program Files (x86)\WinSupportFiveSolutions\WinSupportFive\
  • Chemins : C:\Program Files (x86)\WinSupportNineSolutions\WinSupportNine\
  • Chemins : C:\Program Files (x86)\WaveTownFiveWorkstation\WaveTownFive\
  • Chemins : C:\Program Files (x86)\FutureSpaceThreeSolutions\FutureSpaceThree\
  • Chemins : C:\Program Files (x86)\Web Genius Solutions\Web Genius\
  • Chemins : C:\Program Files (x86)\TableBoatNineWorkstation\TableBoatNine\
  • Chemins : C:\Program Files (x86)\TableBoatTwoWorkstation\TableBoatTwo\
  • Chemins : C:\Program Files (x86)\TableBoatThreeWorkstation\TableBoatThree\
  • Chemins : C:\Program Files (x86)\SistemaTownOneWorkstation\SistemaTownOne\
  • Chemins : C:\Program Files (x86)\SistemaTownThreeWorkstation\SistemaTownThree\
  • Chemins : C:\Program Files (x86)\RaceCarTwoolutions\RaceCarTwo\
  • Chemins : C:\Program Files (x86)\ProductSetupTwoSolutions\ProductSetupTwo\
  • Chemins : C:\Program Files (x86)\WinDefenseThreeSolutions\WinDefenseThree\
  • Chemins : C:\Program Files (x86)\WinDefenseFiveSolutions\WinDefenseFive\
  • Chemins : C:\Program Files (x86)\Chromstera Browser\
  • Chemins : C:\Program Files (x86)\Local World Solutions12\Local World Service12\
  • Chemins : C:\Program Files (x86)\Local Net Solutions17\Local Net Service17\
  • Chemins : C:\Program Files (x86)\Local Net Solutions19\Local Net Service19\
  • Chemins : C:\Program Files (x86)\LocalNetSolutionsEight40\LocalNetServiceEight40\
  • Chemins : C:\Program Files (x86)\GeneralAISupport1Solutions\GeneralAISupport1\
  • Chemins : C:\ProgramData\World Wide Solutions\World Wide Web\updates\
  • Chemins : %SystemRoot%\System32\config\systemprofile\AppData\Local\WMILoad\

Malware / Outils

  • ClockRemoval.ps1 (tool)
  • ClockRemoval-WmiBoot.ps1 (tool)
  • Setup.msi (loader)
  • SoftwareDetector.dll (tool)
  • Advanced Installer (tool)

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ huntress.com — source reconnue (liste interne) (20pts)
  • ✅ 25641 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 60 IOCs dont des hashes (15pts)
  • ✅ 5/7 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 19 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Dragon Boss Solutions LLC (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 909539d3ef8dedc3… (sha256) → VT (21/77 détections)
  • 40ac30ce1e88c47f… (sha256) → VT (4/77 détections)
  • worldwidewebuniverse3.com (domain) → VT (6/94 détections)
  • worldwidewebframework3.com (domain) → VT (9/94 détections)
  • worldwidewebframework2.com (domain) → VT (9/94 détections)

🔗 Source originale : https://www.huntress.com/blog/pups-grow-fangs