🔍 Contexte

Publié le 19 avril 2026 par Ctrl-Alt-Intel (https://ctrlaltintel.com), cet article constitue une analyse technique approfondie de la plateforme FudCrypt (fudcrypt.net), un service de cryptage de malwares (Cryptor-as-a-Service) accessible par abonnement mensuel entre 800 et 2 000 USD.

đŸ—ïž Architecture et modĂšle commercial

FudCrypt propose trois niveaux d’abonnement :

  • Starter (800$/mois) : 1 build/jour, carriers ProtonVPN/Zoom/SharePoint/CCleaner, persistance basique
  • Pro (1 500$/mois) : 5 builds/jour, carriers supplĂ©mentaires, anti-VM
  • Enterprise (2 000$/mois) : builds illimitĂ©s, bypass UAC, dĂ©sactivation Defender, anti-debug, anti-VM

La base de données récupérée révÚle 200 utilisateurs enregistrés, 334 builds, 46 enregistrements de paiement en cryptomonnaies (BTC, USDT, ETH, LTC, XMR) dont 4 confirmés pour un total de 4 820 USD.

⚙ Pipeline de build (v5.0 - production)

Le builder 5_MultiStage_Builder.py génÚre pour chaque build :

  • 20 profils de DLL sideloading (VERSION.dll, DWrite.dll, IPHLPAPI.dll, WINMM.dll, nethost.dll, mpclient.dll) contre des carriers lĂ©gitimes (ProtonVPN, CCleaner, Zoom, SharePoint, etc.)
  • Chiffrement triple couche polymorphique : S-box custom → RC4-16 → XOR-32, clĂ©s rĂ©gĂ©nĂ©rĂ©es par build
  • Staging payload via Dropbox (primaire) et Catbox.moe (fallback)
  • Scan QA via KleenScan (scanner privĂ© multi-moteurs)

đŸ›Ąïž Stack d’Ă©vasion (Stage 2)

  • API Hashing : algorithme identique aux stagers Metasploit (rotation 13 bits)
  • Bypass AMSI mĂ©thode 1 : patch mĂ©moire direct d’AmsiScanBuffer → retourne E_INVALIDARG (0x80070057)
  • Bypass AMSI mĂ©thode 2 : hardware breakpoint via VEH sans modification des bytes de amsi.dll
  • Patch ETW : Ă©crasement d’EtwEventWrite avec 0xC3 (ret)
  • Masquerade PEB : remplacement de l’ImagePathName/CommandLine par C:\Windows\explorer.exe
  • Bypass UAC : CMSTPLUA (CLSID {3E5FC7F9-9A51-4367-9063-A120244FBEC7}) + moniker Elevation:Administrator!new:
  • DĂ©sactivation Defender : Ă©criture GPO dans HKLM\SOFTWARE\Policies\Microsoft\Windows Defender + gpupdate /force

🔧 Builder v6.0 (new_builder.py - en dĂ©veloppement)

Capacités supplémentaires identifiées dans le code source :

  • Indirect syscalls : Hell’s Gate + Halo’s Gate pour 7 syscalls NT (NtAllocateVirtualMemory, NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx, NtWaitForSingleObject, NtClose, NtFreeVirtualMemory)
  • Module stomping : Ă©crasement de la section .text de DLLs lĂ©gitimes (chakra.dll, mshtml.dll, dbghelp.dll)
  • ExĂ©cution sans thread : fibers et callbacks Win32 (EnumWindows, CertEnumSystemStore, EnumFontFamiliesExA)
  • Ekko sleep obfuscation : payload XOR-chiffrĂ© + PAGE_NOACCESS pendant les intervalles de sleep
  • AES-256-CBC via BCrypt CNG : remplacement du crypto custom
  • Anti-sandbox : 8 vĂ©rifications (debugger, timing, username/computername blocklist, DLLs sandbox, RAM < 1 Go, disque < 32 Go, process d’analyse)

đŸ–„ïž Infrastructure C2 fleet (mstelemetrycloud.com)

L’opĂ©rateur gĂšre une infrastructure C2 distincte :

  • Fleet server v3.2 : FastAPI/uvicorn WebSocket sur port 6000, frontĂ© par Traefik/Cloudflare
  • 32 agents enregistrĂ©s (24 avec is_admin=1), 2 093 commandes sur 38 jours (2026-02-27 au 2026-04-06)
  • Persistance automatique Ă  chaque premier beacon : HKCU\...\Run\WindowsUpdateSvc → mstelemetry.exe
  • 4 VMs de signing : windows-Dallas0 (172.86.91.29), windows-LasVega (45.61.149.68), windows-Utah-4g A (144.172.99.122), windows-Utah-4g B (144.172.108.142)

✍ Azure Trusted Signing (ATS)

L’opĂ©rateur utilise 4 comptes ATS pour signer ses propres binaires (non les builds clients) :

  • Comptes : Michigan, Sanbornton, magdarosol, wheeling
  • ChaĂźne de certificats : Microsoft Identity Verification Root CA → Microsoft ID Verified CS EOC CA 01
  • Binaires signĂ©s : verifycall.exe, loader_v3_new.exe, ZoomInstaller.exe, support.msi (ScreenConnect)

📩 Loader natif et ScreenConnect

Un loader natif (loader_v3_clean.c) dĂ©ploie silencieusement un client ScreenConnect configurĂ© pour rappeler 179.43.176.32. Le MSI rĂ©cupĂ©rĂ© (CaseID.Msi.msi) est signĂ© par “SAKEENAH BOWIE”. Des scripts modifient Client.Override.resx pour masquer l’indicateur de session active (BlankMonitorTextColor → #000).

📰 Nature de l’article

Il s’agit d’une publication de recherche threat intelligence Ă  visĂ©e technique, documentant l’architecture complĂšte d’une plateforme CaaS active, avec extraction d’IOCs, TTPs MITRE ATT&CK et analyse du code source rĂ©cupĂ©rĂ© cĂŽtĂ© serveur.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1588.003 — Obtain Capabilities: Code Signing Certificates (Resource Development)
  • T1566 — Phishing (Initial Access)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
  • T1574.001 — Hijack Execution Flow: DLL Search Order Hijacking (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1562 — Impair Defenses (Defense Evasion)
  • T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1027.002 — Obfuscated Files or Information: Software Packing (Defense Evasion)
  • T1055.001 — Process Injection: Dynamic-link Library Injection (Defense Evasion)
  • T1497.003 — Virtualization/Sandbox Evasion: Time Based Evasion (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1219 — Remote Access Software (Command and Control)

IOC

  • IPv4 : 179.43.176.32 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 45.61.149.68 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 144.172.99.122 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 144.172.108.142 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 144.172.100.193 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 144.172.112.13 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 172.86.91.29 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 198.37.119.56 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 157.173.112.182 — AbuseIPDB · VT · ThreatFox
  • Domaines : fudcrypt.net — VT · URLhaus · ThreatFox
  • Domaines : api.fudcrypt.net — VT · URLhaus · ThreatFox
  • Domaines : admin.fudcrypt.net — VT · URLhaus · ThreatFox
  • Domaines : mstelemetrycloud.com — VT · URLhaus · ThreatFox
  • Domaines : monitoring.fudcrypt.net — VT · URLhaus · ThreatFox
  • Domaines : dl.admin334577joagj13.com — VT · URLhaus · ThreatFox
  • Domaines : catbox.moe — VT · URLhaus · ThreatFox
  • URLs : wss://mstelemetrycloud.com/agent — URLhaus
  • SHA256 : 766d884d44b72629336e158a267fbb3f56103c7e739314061b9ecd4b7c68c091 — VT · MalwareBazaar
  • SHA256 : a76cde194a75c015813ff92a2e2ad809b0be10b72b0ec1209d14187b3434ad62 — VT · MalwareBazaar
  • SHA256 : b6295e8616de387ab9ad8148054eb2207b4e3ce26ac1fc73eddacf81008cd7ac — VT · MalwareBazaar
  • SHA256 : b25e8a0b84e5bd7b5cc6dc480d2df8a6f942688c6c7760604e35bf8f1e05e328 — VT · MalwareBazaar
  • SHA256 : 936eedf75cb2d53d90dfd3c5f7faab94f63901a06df96d6c483b9d4d6c7613bc — VT · MalwareBazaar
  • SHA256 : eaa9dc1c9dc8620549fee54d81399488292349d2c8767b58b7d0396564fb43e7 — VT · MalwareBazaar
  • SHA256 : 5e401e6acce66f5010cca2b1cb4ac05c7a927df03aa021178e012af12639a041 — VT · MalwareBazaar
  • Emails : gone-tricky-skier@duck.com
  • Fichiers : VERSION_366.dll
  • Fichiers : VERSION_369.dll
  • Fichiers : VERSION_370.dll
  • Fichiers : VERSION_371.dll
  • Fichiers : nethost350.dll
  • Fichiers : IObitUnlocker.exe
  • Fichiers : CaseID.Msi.msi
  • Fichiers : mstelemetry.exe
  • Fichiers : verifycall.exe
  • Fichiers : verifycall3.exe
  • Fichiers : VerifyCall_new2.exe
  • Fichiers : verifycall.msi
  • Fichiers : call_check.exe
  • Fichiers : call_verify.exe
  • Fichiers : loader_v3_new.exe
  • Fichiers : ZoomInstaller.exe
  • Fichiers : support.msi
  • Fichiers : svcupd.exe
  • Fichiers : wuhelper.exe
  • Fichiers : svcnew.exe
  • Fichiers : update.zip
  • Chemins : %LOCALAPPDATA%\mstelemetry.exe
  • Chemins : C:\sign\verifycall.exe
  • Chemins : C:\sign\ScreenConnect.ClientSetup.msi
  • Chemins : C:\sign\metadata.json
  • Chemins : %TEMP%\update.zip
  • Chemins : %TEMP%\svcupd.exe
  • Chemins : %TEMP%\support.msi

Malware / Outils

  • FudCrypt (loader)
  • 5_MultiStage_Builder.py (tool)
  • new_builder.py (tool)
  • loader_v3_clean.c (loader)
  • mstelemetry.exe (rat)
  • ScreenConnect (tool)
  • KleenScan (tool)

🟱 Indice de vĂ©rification factuelle : 90/100 (haute)

  • ✅ ctrlaltintel.com — source reconnue (Rösti community) (20pts)
  • ✅ 48022 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 53 IOCs dont des hashes (15pts)
  • ✅ 6/10 IOCs confirmĂ©s (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 17 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

IOCs confirmés externellement :

  • 179.43.176.32 (ip) → VT (13/94 dĂ©tections)
  • 45.61.149.68 (ip) → VT (13/94 dĂ©tections)
  • 144.172.99.122 (ip) → VT (4/94 dĂ©tections)
  • a76cde194a75c015
 (sha256) → VT (7/77 dĂ©tections)
  • b6295e8616de387a
 (sha256) → VT (27/77 dĂ©tections)

🔗 Source originale : https://ctrlaltintel.com/research/FudCrypt-analysis-1/