🗓️ Contexte

Source : BleepingComputer, publié le 15 avril 2026. Le CERT-UA a publié un rapport détaillant une campagne d’attaques ciblant des gouvernements locaux, des hôpitaux et potentiellement des représentants des Forces de Défense ukrainiennes. La campagne est attribuée au cluster de menace UAC-0247.

🎯 Vecteur d’infection et chaîne d’attaque

L’attaque débute par un email de phishing se faisant passer pour une offre d’aide humanitaire, contenant un lien malveillant. Ce lien redirige vers :

  • Un site légitime compromis via une vulnérabilité XSS (Cross-Site Scripting)
  • Ou un site frauduleux généré par un outil d’IA

La cible reçoit ensuite une archive contenant un fichier LNK qui déclenche un handler HTA intégré, lequel se connecte à une ressource distante pour récupérer et exécuter un fichier HTA. Ce fichier affiche un formulaire leurre et crée une tâche planifiée qui télécharge un payload EXE injectant du shellcode dans un processus légitime.

🔗 Stagers et chargeurs

  • Un chargeur en deux étapes est déployé, dont le second utilise un format exécutable personnalisé avec payload compressé et chiffré
  • RAVENSHELL (reverse shell TCP) est utilisé comme stager pour établir une connexion TCP vers le serveur C2
  • La communication C2 est chiffrée via chiffrement XOR et exécute des commandes via l’invite de commandes Windows

🦠 Malware AgingFly

AgingFly est un malware écrit en C# offrant les capacités suivantes :

  • Contrôle à distance
  • Exécution de commandes
  • Exfiltration de fichiers
  • Capture d’écran
  • Keylogging
  • Exécution de code arbitraire

Communication via WebSockets, trafic chiffré en AES-CBC avec clé statique.

Particularité distinctive : AgingFly ne contient pas de gestionnaires de commandes pré-compilés. Ceux-ci sont récupérés depuis le C2 sous forme de code source et compilés dynamiquement à l’exécution sur l’hôte cible, permettant un payload initial réduit, une extension des capacités à la demande et une évasion de la détection statique.

SILENTLOOP (script PowerShell) est utilisé en parallèle pour exécuter des commandes, mettre à jour la configuration et récupérer l’adresse C2 depuis un canal Telegram ou des mécanismes de fallback.

📦 Vol de données et mouvement latéral

  • ChromElevator (outil open-source) : extraction de cookies et mots de passe depuis les navigateurs Chromium (Chrome, Edge, Brave) sans privilèges administrateur
  • ZAPiDESK (outil forensique open-source) : extraction de données depuis WhatsApp pour Windows par déchiffrement de bases de données
  • Reconnaissance réseau et mouvement latéral via : RustScan (scanner de ports), Ligolo-ng et Chisel (outils de tunneling)

📋 Type d’article

Il s’agit d’une analyse de menace basée sur un rapport du CERT-UA, visant à documenter une nouvelle famille de malware et la chaîne d’attaque associée pour permettre la détection et la réponse aux incidents.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • UAC-0247 (unknown) —

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
  • T1547.005 — Boot or Logon Autostart Execution: Security Support Provider (Persistence)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1055 — Process Injection (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1132 — Data Encoding (Command and Control)
  • T1573 — Encrypted Channel (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1113 — Screen Capture (Collection)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1046 — Network Service Discovery (Discovery)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1608.006 — Stage Capabilities: SEO Poisoning (Resource Development)

Malware / Outils

  • AgingFly (rat)
  • RAVENSHELL (backdoor)
  • SILENTLOOP (tool)
  • ChromElevator (tool)
  • ZAPiDESK (tool)
  • RustScan (tool)
  • Ligolo-ng (tool)
  • Chisel (tool)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 4262 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 21 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : UAC-0247 (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/new-agingfly-malware-used-in-attacks-on-ukraine-govt-hospitals/