🔍 Contexte

Publié le 19 avril 2026 sur GitHub par le compte KuwaitiSt, le projet Astral Projection est un UDRL (User-Defined Reflective Loader) conçu pour Cobalt Strike, un framework offensif largement utilisé dans les opérations red team et par des acteurs malveillants.

⚙️ Fonctionnement technique

Astral Projection implémente des techniques d’évasion en mémoire avancées :

  • Chargement d’un module légitime via LoadLibraryExW puis écrasement de son contenu (module stomping)
  • Pendant les phases de sommeil du beacon, le module est déchargé (unmapped) tout en maintenant les entrées PEB intactes
  • Un module frais est rechargé (remapped) au réveil pour éviter la détection par des IOCs statiques en mémoire

🛠️ Dépendances et configuration

Le projet est construit avec Crystal Palace et s’appuie partiellement sur le code du projet Crystal-Kit.

La configuration Malleable C2 recommandée désactive les mécanismes de protection natifs de Cobalt Strike :

s } p } t o a s s t s s s g e e r t e e e t t a - t t n e { s c s x c s l l f l m e e o { e a e a r a r p n m n t _ u - u i m p o p n a b j s " f " e k t u t c r s r t " u c u f e a e " a " t " t l ; e ; r s u e { e " " ; } ;

L’installation nécessite de copier crystalpalace.jar dans le répertoire client Cobalt Strike et de charger le script Astral_Projection.cna.

📌 Nature de l’article

Il s’agit d’une publication d’outil offensif open source à destination de la communauté red team, accompagnée d’un article technique de référence. Le but principal est de partager un loader réflectif avancé permettant l’évasion des solutions de détection en mémoire lors de l’utilisation de Cobalt Strike.

🧠 TTPs et IOCs détectés

TTP

  • T1055.001 — Process Injection: Dynamic-link Library Injection (Defense Evasion)
  • T1055.013 — Process Injection: Process Doppelgänging (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)

IOC

  • Fichiers : crystalpalace.jar
  • Fichiers : Astral_Projection.cna

Malware / Outils

  • Cobalt Strike (framework)
  • Astral Projection (loader)
  • Crystal Palace (framework)
  • Crystal-Kit (tool)

🔴 Indice de vérification factuelle : 26/100 (basse)

  • ⬜ github.com — source non référencée (0pts)
  • ✅ 807 chars — extrait court (5pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://github.com/KuwaitiSt/Astral_Projection