🔍 Contexte

Publié le 22 avril 2026 par Joe Security LLC sur joesecurity.org, cet article présente une reconstruction technique complète d’une chaîne d’infection multi-étages aboutissant au déploiement d’un Cobalt Strike Beacon stageless. L’analyse a été conduite via Joe Sandbox Cloud Pro et le nouvel outil Joe Reverser.

🧩 Chaîne d’infection

L’échantillon initial se présentait comme peu suspect mais dissimulait plusieurs couches d’exécution :

  • Stage 1 : Loader .NET (classe CPLoadNET.Runner.cs) avec mécanisme anti-sandbox vérifiant l’appartenance à un domaine Active Directory
  • Stage 2 : Payload chiffré (XOR + Base64), injecté dans un processus iexplore.exe suspendu via process hollowing
  • Stage 3 : Loader en mémoire qui résout les APIs, mappe les sections, corrige les relocations et transfère l’exécution au beacon Cobalt Strike embarqué

🔐 Protocole C2 et cryptographie

Le beacon utilise un schéma cryptographique hybride :

  • RSA-1024 + PKCS#1 v1.5 pour chiffrer la clé de session AES (16 octets)
  • AES-CBC pour chiffrer les communications C2
  • HMAC-SHA256 pour l’intégrité des réponses
  • Les requêtes HTTP GET sont formatées : GET /rest/funcStatus?_=<payload> avec un User-Agent archaïque (Mozilla/4.0 compatible MSIE 7.0)

📡 Infrastructure C2

Deux domaines C2 hardcodés identifiés :

  • microsoft.otp.lu
  • analytics.green-it.lu

Endpoints : /rest/funcStatus (GET beaconing) et /rest/policy/3/ (POST)

⚙️ Capacités opérationnelles

Le dispatcher de commandes (119 opcodes, 37 documentés) révèle :

  • Exécution de PE en mémoire (sans écriture disque)
  • Capture et streaming d’écran, injection d’entrées
  • Impersonation de tokens de sécurité
  • Gestion de canaux réseau (tunneling/pivot)
  • Modification en mémoire de la configuration C2
  • Anti-forensics (effacement des buffers de commandes)
  • Contrôle de desktops, processus, fichiers

🧬 Attribution

La clé publique RSA extraite correspond exactement à celle trouvée dans deux échantillons VirusTotal (dff61a394c14f23537b490f7ea1530a456c57bca24bfc317691ce118aa34ee6a et 8bf7886775bfd69b6867b44a6bad2ee06df4243d814c6245975e78bb1ca2f4ab), confirmant l’attribution à un Cobalt Strike Beacon stageless avec watermark 1802994334.

📋 Type d’article

Il s’agit d’une analyse technique approfondie visant à documenter intégralement une chaîne d’infection, extraire des IOCs actionnables et comprendre le protocole C2 d’un implant Cobalt Strike pour alimenter la threat intelligence.

🧠 TTPs et IOCs détectés

TTP

  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1055.012 — Process Injection: Process Hollowing (Defense Evasion)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1573.002 — Encrypted Channel: Asymmetric Cryptography (Command and Control)
  • T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1134 — Access Token Manipulation (Privilege Escalation)
  • T1113 — Screen Capture (Collection)
  • T1057 — Process Discovery (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1049 — System Network Connections Discovery (Discovery)
  • T1082 — System Information Discovery (Discovery)
  • T1055 — Process Injection (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1070 — Indicator Removal (Defense Evasion)

IOC

  • Domaines : microsoft.otp.luVT · URLhaus · ThreatFox
  • Domaines : analytics.green-it.luVT · URLhaus · ThreatFox
  • URLs : https://microsoft.otp.lu/rest/funcStatusURLhaus
  • URLs : https://analytics.green-it.lu/rest/funcStatusURLhaus
  • URLs : https://microsoft.otp.lu/rest/policy/3/URLhaus
  • URLs : https://analytics.green-it.lu/rest/policy/3/URLhaus
  • SHA256 : 4e791c25ea3e6fe490e9b53a1b13eaafef56d9cfc75930b380fc49fb843212b9VT · MalwareBazaar
  • SHA256 : dff61a394c14f23537b490f7ea1530a456c57bca24bfc317691ce118aa34ee6aVT · MalwareBazaar
  • SHA256 : 8bf7886775bfd69b6867b44a6bad2ee06df4243d814c6245975e78bb1ca2f4abVT · MalwareBazaar
  • MD5 : 4522725d24ca4eb6f660dcafeacc4af7VT · MalwareBazaar
  • Chemins : %windir%\syswow64\WerFault.exe
  • Chemins : %windir%\sysnative\WerFault.exe

Malware / Outils

  • Cobalt Strike Beacon (framework)
  • CPLoadNET (loader)

🟢 Indice de vérification factuelle : 70/100 (haute)

  • ⬜ joesecurity.org — source non référencée (0pts)
  • ✅ 28706 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 12 IOCs dont des hashes (15pts)
  • ✅ 4/8 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 17 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 4e791c25ea3e6fe4… (sha256) → VT (22/77 détections)
  • dff61a394c14f235… (sha256) → VT (49/77 détections)
  • 8bf7886775bfd69b… (sha256) → VT (31/77 détections)
  • microsoft.otp.lu (domain) → VT (5/94 détections)

🔗 Source originale : https://www.joesecurity.org/news