Direct-Sys Loader et CGrabber Stealer : chaîne malveillante en 5 étapes avec évasion avancée

🔍 Contexte

Publié le 15 avril 2026 par la Howler Cell Research Team de Cyderes, ce rapport présente l’analyse technique complète d’une chaîne d’infection en 5 étapes impliquant deux nouvelles familles de malwares : Direct-Sys Loader et CGrabber Stealer.

📦 Vecteur d’infection

La campagne débute par la distribution d’archives ZIP hébergées sur l’infrastructure GitHub user-attachments. L’archive analysée (Eclipsyn.zip, SHA-256 : f464a4155526fa22c45a82d3aa75a13970189aad8cc3fa6050cf803a54d8baed) contient un binaire légitime signé Microsoft, Launcher_x64.exe, abusé pour du DLL sideloading via une DLL malveillante nommée msys-crypto-3.dll.

⚙️ Chaîne d’exécution en 5 étapes

• Stage 1 – Direct-Sys Loader : Déchiffrement ChaCha20 en mémoire (clé et nonce hardcodés), invocation d’APIs Win32 via direct syscall stubs (NtAllocateVirtualMemory, NtWriteVirtualMemory, NtProtectVirtualMemory), et trois vérifications anti-analyse : présence du fichier 12345.txt, énumération de 67 processus d’analyse/debug, et vérification des périphériques d’affichage pour détecter hyperviseurs/VMs.
• Stage 2 – Shellcode : Résolution dynamique d’APIs via le PEB, chargement de DLLs, patching en mémoire d’AmsiScanBuffer, AmsiScanString et EtwEventWrite, décompression LZNT1 du stage suivant.
• Stage 3 – APC Injector : Réplique du loader Stage 1 avec les mêmes anti-analyses, effectue une injection APC dans Dllhost.exe.
• Stage 4 – Shellcode : Miroir fonctionnel du Stage 2, décompresse le PE final.
• Stage 5 – CGrabber Stealer : Stealer final.

🕵️ CGrabber Stealer – Capacités

CGrabber commence par récupérer le MachineGuid depuis le registre, énumère les processus actifs, identifie les antivirus installés (liste de 30+ produits), puis effectue :

• Vérification d’exclusion CIS (région géographique) et contrôle du mutex global CGrabber_Instance_A7F3B2E1
• Collecte de credentials navigateurs Chromium et Gecko (passwords, cookies, cartes bancaires)
• Vol de 150+ wallets crypto desktop et extensions navigateur
• Exfiltration de données VPN, FTP, SSH, gestionnaires de mots de passe, clients mail, messageries
• Tag de campagne hardcodé : “den”

🔐 Chiffrement et C2

Toutes les données sont packagées dans une archive ZIP in-memory, chiffrées avec ChaCha20 (nonce aléatoire 12 bytes, clé = SHA-256 du C2 URL), authentifiées par HMAC-SHA256. La communication C2 utilise des headers HTTP personnalisés (X-Auth-Token, X-Session, X-Upload-Id, X-Offset) vers les endpoints /api/auth, /api/upload/start, /api/upload/chunk, /api/upload/complete.

🌍 Attribution et géographie

L’exclusion CIS et le mutex anti-doublon suggèrent un acteur opérant depuis les pays de la Communauté des États Indépendants. La signature cryptographique identique (même clé et nonce ChaCha20) entre le loader et le stealer indique un développeur ou groupe commun.

📄 Type d’article

Analyse technique approfondie publiée par une équipe de threat research, visant à documenter une nouvelle chaîne malveillante et fournir des IOCs, règles YARA et TTPs MITRE exploitables pour la détection et la chasse aux menaces.

🧠 TTPs et IOCs détectés

TTP

• T1204.002 — User Execution: Malicious File (Initial Access)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
• T1497.002 — Virtualization/Sandbox Evasion: User Activity Based Checks (Defense Evasion)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1055.004 — Process Injection: Asynchronous Procedure Call (Defense Evasion)
• T1620 — Reflective Code Loading (Defense Evasion)
• T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
• T1082 — System Information Discovery (Discovery)
• T1057 — Process Discovery (Discovery)
• T1518.001 — Software Discovery: Security Software Discovery (Discovery)
• T1012 — Query Registry (Discovery)
• T1555 — Credentials from Password Stores (Credential Access)
• T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
• T1114 — Email Collection (Collection)
• T1119 — Automated Collection (Collection)
• T1005 — Data from Local System (Collection)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1030 — Data Transfer Size Limits (Exfiltration)

IOC

• Domaines : technologytorg.com — VT · URLhaus · ThreatFox
• Domaines : attackzombie.com — VT · URLhaus · ThreatFox
• Domaines : evasivestars.com — VT · URLhaus · ThreatFox
• Domaines : gogenbydet.cc — VT · URLhaus · ThreatFox
• Domaines : startbuldingship.com — VT · URLhaus · ThreatFox
• Domaines : sinixproduction.com — VT · URLhaus · ThreatFox
• Domaines : playbergs.info — VT · URLhaus · ThreatFox
• URLs : https://github.com/user-attachments/files/24323350/installer.zip — URLhaus
• URLs : https://github.com/user-attachments/files/24332128/installer.zip — URLhaus
• URLs : https://github.com/user-attachments/files/24353240/installer.zip — URLhaus
• URLs : https://github.com/user-attachments/files/24373097/installer.zip — URLhaus
• URLs : technologytorg.com/api/auth — URLhaus
• URLs : technologytorg.com/api/upload/start — URLhaus
• URLs : technologytorg.com/api/upload/chunk — URLhaus
• URLs : technologytorg.com/api/upload/complete — URLhaus
• SHA256 : f464a4155526fa22c45a82d3aa75a13970189aad8cc3fa6050cf803a54d8baed — VT · MalwareBazaar
• SHA256 : 6e5e8cb861ed0bb7193280d6e9fea8e4cc08bc0cd94d507818dee46f0316e194 — VT · MalwareBazaar
• SHA256 : f6dfc06fb7fa8e733ae7b2541d7b1771cd1b6d11984b97f636a9ac47e23ad811 — VT · MalwareBazaar
• SHA256 : fd8bba8b570050cbe0a82f21209eafe1ddaf007f4f5aec100b8b29cae9a76d49 — VT · MalwareBazaar
• SHA256 : cbdcd2ae13258d7681b84a0066a59785eff2ec1ab5943a3a031584d9fe1946b9 — VT · MalwareBazaar
• SHA256 : 0184983d2230ffb21b0e728927fe73cf24bff65e32fbd751f258db1c1b17be7f — VT · MalwareBazaar
• SHA256 : 08a1db1836b7495c9d92199c0d5443c3c2eaeaf6b1f17323e1d6ac4837611780 — VT · MalwareBazaar
• SHA256 : 13b05f330e707cd8e32584ce155ca502254d5767fb3abb9643efba9b680e157c — VT · MalwareBazaar
• SHA256 : 1bca9de5c9962888e1fea336777a58d5c0e0071fcd57693fe25c3ff6ea42d43a — VT · MalwareBazaar
• SHA256 : 1bf3c7c19516479de60ef3dc67f3fb62bf0c98e9f1a0751978701ea53384f3c2 — VT · MalwareBazaar
• SHA256 : 1fc2dc830d1ad42261c2842b704ebc75ed782c1814c03915a22becbf161d13ed — VT · MalwareBazaar
• SHA256 : 21f21efcf7771daa6037b7304caa7eaf819c3feee7aaa65b943d9066753f2951 — VT · MalwareBazaar
• SHA256 : 224de3e2bc78d1f991e2d0fc44fa71fda99f7b3164a7a49d4f01f764c9006633 — VT · MalwareBazaar
• SHA256 : 25477b4862be0ecbbe783926a3f9f1b26c35acef23a87100a208d52371ab66e5 — VT · MalwareBazaar
• SHA256 : 2e4960d8f0601d9838b2a724af51dbd7bdc6843731af1f11b855c36d4e15616f — VT · MalwareBazaar
• SHA256 : 32738964380f85bf4cbe0573ec2eff4874c0057764bddfc7e15eae0ba3636416 — VT · MalwareBazaar
• SHA256 : 36a11595becbc011e39247028ae2352118edc578eee228ae116955b75e3d9dd3 — VT · MalwareBazaar
• SHA256 : 388301364a3b830a8d807eda1ba5052fd7bb78048fd4d29d7c6037857be8204b — VT · MalwareBazaar
• SHA256 : 3ce809c2d8a73a63eab49b305ebbe79b8e425b964c7f1e51ea2e215399039692 — VT · MalwareBazaar
• SHA256 : 3f87a2a56e7a3a78405e6a02d74f10884efb60608794a181cefccf739526aa81 — VT · MalwareBazaar
• SHA256 : 3fc7e8f1e0845f1524e5a39ed191bfd8dba988fcd9549e07635509ccaabf5c6a — VT · MalwareBazaar
• SHA256 : 426f777c4a654390205a24f42a26ac10c6c58f71e9b7d7a48a526fd8b99764a2 — VT · MalwareBazaar
• SHA256 : 43b3c946f04abe68371942181d3d83ca3a79b65969bcd40f9967ee63b3759fb8 — VT · MalwareBazaar
• SHA256 : 47e729605419ac23d07cbdc6d13db748117f98c2159ccd8307abd79d3bd3f236 — VT · MalwareBazaar
• SHA256 : 486a121d3a32218e2df9cdaa2db117ffc1a4254ef7f9eda1f334316244c7849c — VT · MalwareBazaar
• SHA256 : 48a5027c0e8121f9900022eebc3be702f41c102d30a6d0ebea2290c05fb7ae08 — VT · MalwareBazaar
• SHA256 : 4a5212b541773ffed373e5aebcf86c3bfbe4ede363606e6bcec6dd84e525928a — VT · MalwareBazaar
• SHA256 : 5394d9eca45c6d092a44619322aeb2fb2af5838c2eea0efa88793048aadf7e24 — VT · MalwareBazaar
• SHA256 : 53cb0d58c1ba8e71f611880a9fa596c23fa0a9d35a7bf1ac75cdfe498cbfb602 — VT · MalwareBazaar
• SHA256 : 54a506ca31052a24554089f4d82cb071d65d3ec3cff50bf74188bc1f11480532 — VT · MalwareBazaar
• SHA256 : 5b771509b90aca14ea3664a48cef0a1556b8ec2f57cc20db80ecd91890f18888 — VT · MalwareBazaar
• SHA256 : 5c9835ddd74c6b85519b4d888464979704a60e295a2c7ce404ae8724e3d6bf34 — VT · MalwareBazaar
• SHA256 : 5dbbd9b8bbca090e197dc18e6e7b0a10ba5901db3a0ab95d3b143c0d4a21d8a2 — VT · MalwareBazaar
• SHA256 : 5e8a944131733223a74c0c6c245a19757012e19f7f27d8caf5a3aca7ef122c6a — VT · MalwareBazaar
• SHA256 : 64f6fe389b6c8e3ad3d8aee6fda98bd82374269ef0baba8139c6f011f28151fd — VT · MalwareBazaar
• SHA256 : 6b64d5d7e0155f140ce8f9336d13def5e3d0d602510c55f1e572ac0f27e0729f — VT · MalwareBazaar
• SHA256 : 711364c6c7e4d5bd1ffc4fe22b3d82adf8700881c2c6f09df535c3fa2ab5f75d — VT · MalwareBazaar
• SHA256 : 7193eba9f262a73114d74885b99da63327da650cde1f1c7f7b6246d41d0b6936 — VT · MalwareBazaar
• SHA256 : 74953ff4ae57d251ca4d173578eb72d02d6f3f23bd72586e769d06fefde94b48 — VT · MalwareBazaar
• SHA256 : 74d45b5489e561d7bb6d03495fcf3a0dbe8b1c4b3fdce1229d58df01ab63e1f9 — VT · MalwareBazaar
• SHA256 : 758a6fe99001ea137d6dd8dda7b52af132f33571515bc58a2a9c77231d5cbf81 — VT · MalwareBazaar
• SHA256 : 82d7f7bf12e9dc89251fa189b034549497e35c3906e6eb72f1c1c00dd4a45ae2 — VT · MalwareBazaar
• SHA256 : 83f28f78af88aaeec75f7ca5dd461dd994649c3a3b8e7551ee6e2256a3e2217b — VT · MalwareBazaar
• SHA256 : 85f573bddcdf838c9b4a40e1c767aff996c6c26c812e7bba635fbf570dc7b19a — VT · MalwareBazaar
• SHA256 : 874da4ec130131674f2b99aabe2004e87b0724e0581e6b0e33f5ffed2c92a7f7 — VT · MalwareBazaar
• SHA256 : 88bf79cf6297ecd38ad395ef03927129ab3ae81cfc253b10568ca5a0d48f0a7c — VT · MalwareBazaar
• SHA256 : 8b9a0e56b267217ccb0423ed86f3baa9ae57f74dbf9c23103031d5dd3bb45012 — VT · MalwareBazaar
• SHA256 : 8c7aea915472c54de06aecef05cb54dc07c3387a454f0901919 33ef2783e7832 — [VT](https://www.virustotal.com/gui/search/8c7aea915472c54de06aecef05cb54dc07c3387a454f0901919 33ef2783e7832) · [MalwareBazaar](https://bazaar.abuse.ch/browse.php?search=sha256%3A8c7aea915472c54de06aecef05cb54dc07c3387a454f0901919 33ef2783e7832)
• SHA256 : 8dacdbf7e7dd12da5bbe0f95567c957f2db53468994b100b5ddb00ee85f19d60 — VT · MalwareBazaar
• SHA256 : 932a2cbb9b927b97cc67727ace589fbbcf332bf481d955f71f61dfd42f6253d6 — VT · MalwareBazaar
• SHA256 : 939c54956613ed402b43bff9ca54666172ddec13556df4aea2ad36a8fce235f0 — VT · MalwareBazaar
• SHA256 : 967d303ae8d9db6a0372703555b100ea40bc79b654f4a516528a194aae68b895 — VT · MalwareBazaar
• SHA256 : 99ae607df167457518fef27d35ea72d1a3c250dcc451000e596ce327bc783195 — VT · MalwareBazaar
• SHA256 : 9bf43b3e6f2204d5dd9c49eefc956bedc200730072c5a1cb40a9b5805cfb5a5f — VT · MalwareBazaar
• SHA256 : 9fcefc9e5b8e0da950d23383f26a51101569c5d7e8329a9f4d4d37e5f3fbcb24 — VT · MalwareBazaar
• SHA256 : a47f46cd612ad3545cd96ed54cf0f5e33e87721515c359298fdb337c1ce7bf71 — VT · MalwareBazaar
• SHA256 : aa9797ee5cc8658dbf3b339e7fd0e63d1a2c2c4066aa10b271ca6f25b7d4403f — VT · MalwareBazaar
• SHA256 : adc770c676c9fa1136630f55f23d22e0aed4c1dba5d45f57023dbb22bfb67512 — VT · MalwareBazaar
• SHA256 : b166b1dfe98c6cc4981b93689810269bb27e197156a865c8f12c3fb926cc9b13 — VT · MalwareBazaar
• SHA256 : b283772fc5a63036f58ad6362fd8ecbbf63f80d554779e198899c6a136c65b66 — VT · MalwareBazaar
• SHA256 : b37943923000b626797acc960d4f8d6ffd87d290f51f1d7e053d87ad1628f932 — VT · MalwareBazaar
• SHA256 : b5dbeffaffbdb15995939a4b238bf8d42d076948eab8e7444a39387ed485d135 — VT · MalwareBazaar
• SHA256 : b748160d6573bb2fa82bf629ff0e49ebe0748855344ad3a1faf20a9225143915 — VT · MalwareBazaar
• SHA256 : bacddaa7168afc28ae53a3cabb93becef60051b1250482ecd0c804e7d110c32b — VT · MalwareBazaar
• SHA256 : c40a9109f8c07f41e75d53bc598508321a5f7e8feeaf6ae379be29ec5cfb9c7d — VT · MalwareBazaar
• SHA256 : c4e43d6a9ff4580c4e299f33e39d59031327019acc9f3c31c64e67aed3cf7600 — VT · MalwareBazaar
• SHA256 : c8c77a1b6de14b873aaa7842c9ad729bdc5f289c4ad765c49646cd66c0410b6f — VT · MalwareBazaar
• SHA256 : cf0da23c1b3c24ac80cd0eb2b3d6ad3994ebb347174f0917931c26a7a0b65b41 — VT · MalwareBazaar
• SHA256 : d14911adad0c62539d15043cf2deededaf964757d8538044189e19a4a3910c5a — VT · MalwareBazaar
• SHA256 : d4afa13cc31da34c8f0741336276baff53b3206b14ce7747ab129d9a9a1bd428 — VT · MalwareBazaar
• SHA256 : d7ba4952f1e477b63259528e96bb106e9cf57fbb6b17f5d27346efdccfa4e35a — VT · MalwareBazaar
• SHA256 : d99617c9b23e96103d147bcc9c0b490daac7679ee8fad236c4cf7f7f2cd86456 — VT · MalwareBazaar
• SHA256 : da2e3f245cc6a14e398a4a4bca4789b4aaf53f5a01b19ead4cb15876b3f9fccb — VT · MalwareBazaar
• SHA256 : dd0016560f968f9b364f34fe0ece3e0a61763caace1215e82f2b3d0ed66aa808 — VT · MalwareBazaar
• SHA256 : de637d9fa83666dd1770306418383cd6109ed701c2ec4510c943a35540b51b9d — VT · MalwareBazaar
• SHA256 : deccb0c8f5715f2c31a0440a13761d18d7104663b3a69ce905332124703ade53 — VT · MalwareBazaar
• SHA256 : e042fbd39fc77ffa182797feb90b35fa0f92afd5f6ba948f6091aa716a98468d — VT · MalwareBazaar
• SHA256 : e043c8e1a0d980fcc6d6db7ec3154553099a2b4e84b72807334df932ffb10225 — VT · MalwareBazaar
• SHA256 : e1948cd1e96653464062e33fec9cd314a1208eee09e4c3f763ea22d9e69b506f — VT · MalwareBazaar
• SHA256 : e81d86991c49c626f0b28eb9b0bd93b4c12f810984514a92dcf7d7de305bad83 — VT · MalwareBazaar
• SHA256 : e86164199b94e50318893a52c2449180e0a46d02a0954e6acc4299a2388f61fb — VT · MalwareBazaar
• SHA256 : f15551c03d74e4b532a45588e960791875161254b392fb2b607f1652f28b71b1 — VT · MalwareBazaar
• SHA256 : f56d0c5ffb9795209afbbdfe34067140c0a924745e4bbad14a56476581779f60 — VT · MalwareBazaar
• SHA256 : f83e67611091d3a66803dc7f79df6486d42b8a363e9cd3c331656df48385b0d1 — VT · MalwareBazaar
• SHA256 : ff41b103830786d8553c69c8f82b8000601e7218cbe92b06431f45cefd61de3b — VT · MalwareBazaar
• SHA256 : fff4a97fdc67df84479c8a40b7efbfb0e12c97dca1385cca9529b4aff86ca193 — VT · MalwareBazaar
• Fichiers : Eclipsyn.zip
• Fichiers : msys-crypto-3.dll
• Fichiers : Launcher_x64.exe
• Fichiers : 12345.txt
• Fichiers : ProcessList.txt
• Fichiers : UserInformation.txt
• Fichiers : installer.zip

Malware / Outils

• Direct-Sys Loader (loader)
• CGrabber Stealer (stealer)

🟢 Indice de vérification factuelle : 90/100 (haute)

• ✅ cyderes.com — source reconnue (Rösti community) (20pts)
• ✅ 35079 chars — texte complet (fulltext extrait) (15pts)
• ✅ 108 IOCs dont des hashes (15pts)
• ✅ 5/9 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 20 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• f464a4155526fa22… (sha256) → VT (15/77 détections)
• 6e5e8cb861ed0bb7… (sha256) → VT (28/76 détections)
• technologytorg.com (domain) → VT (18/94 détections)
• attackzombie.com (domain) → VT (14/94 détections) + ThreatFox (donut_injector)
• evasivestars.com (domain) → VT (20/94 détections) + ThreatFox (Unknown Stealer)

🔗 Source originale : https://www.cyderes.com/howler-cell/direct-sys-loader-cgrabber-stealer-five-stage-malware-chain