DinDoor : analyse du backdoor Deno lié à MuddyWater et cartographie de 20 serveurs C2 actifs

🔍 Contexte

Publié le 21 avril 2026 par Hunt.io, cet article présente une analyse technique approfondie de DinDoor, un backdoor basé sur le runtime Deno, variante du Tsundere Botnet, précédemment documenté par Broadcom en mars 2026 et attribué au groupe APT iranien Seedworm (MuddyWater).

🎯 Vecteur d’infection et chaîne d’exécution

Deux échantillons MSI ont été analysés :

• migcredit.pdf.msi (SHA256: 7b793c54a927da36649eb62b9481d5bcf1e9220035d95bbfb85f44a6cc9541ae) : utilise une double extension pour se faire passer pour un PDF, cible apparente d’une entreprise russe de microcrédit (MigCredit). Dépose Juliet_widget15.ps1 dans AppData\Local\documents\, écrit le payload JS sur disque (Uniform_system17.js).
• Installer_v1.21.66.msi (SHA256: 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5) : construit avec WiX Toolset, signé avec le certificat ‘Amy Cherne’ lié à MuddyWater et CastleRAT. Exécute error.vbs pour afficher une fausse erreur, puis lance silencieusement Viper_controller36.vbs → tango_utility84.ps1. Le payload JS est exécuté entièrement en mémoire via URI data:application/javascript;base64.

⚙️ Comportement du payload Deno

• Mutex via TCP : bind sur 127.0.0.1:10091 (migcredit) ou 127.0.0.1:10044 (Installer) ; si le port est occupé, Deno.exit(1) est appelé.
• Fingerprinting : hash dual rolling initialisé à 0x9E3779B9, combinant USERNAME, hostname, mémoire totale et OS release → identifiant hexadécimal 16 caractères envoyé à chaque requête C2.
• Health check : GET /health avec timeout 3 secondes, attend HTTP 200 avec corps ok.
• C2 URL (Installer) : http://serialmenot[.]com/mv2/<JWT>/<victim_hash> avec JWT hardcodé exposant des métadonnées de campagne.
• Détection sandbox : énumération GPU via Get-WmiObject Win32_VideoController.
• Beacon : toutes les secondes (Installer) ou toutes les 30 secondes (migcredit), rotation d’index C2 en cas d’échec.

🌐 Infrastructure C2 et pivoting

La réponse HTTP des serveurs DinDoor présente une empreinte distinctive :

• En-tête Via: 1.1 Caddy, 1.1 Caddy (double hop proxy)
• Content-Length: 13, Content-Type: text/plain; charset=UTF-8
• X-Request-Id unique par requête

Une requête HuntSQL ciblant ces caractéristiques a retourné 20 serveurs actifs répartis sur 15 systèmes autonomes, dont plusieurs hébergeurs bulletproof : PROSPERO 000, BL Networks, ZhyouiSat Communications, AEZA Group.

Le domaine serialmenot[.]com est documenté comme infrastructure multi-tenant partagée entre acteurs ransomware, étatiques et cybercriminels, également attribué à TAG-150 pour CastleLoader (JUMPSEC).

📋 Type d’article

Il s’agit d’une analyse technique combinant reverse engineering de malware et pivoting sur infrastructure active, destinée à fournir des IOCs exploitables et des méthodes de détection pour les équipes CTI et SOC.

🧠 TTPs et IOCs détectés

Acteurs de menace

• MuddyWater (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• TAG-150 (unknown) — orkl.eu · Malpedia

TTP

• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1204.002 — User Execution: Malicious File (Execution)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1027.009 — Obfuscated Files or Information: Embedded Payloads (Defense Evasion)
• T1620 — Reflective Code Loading (Defense Evasion)
• T1036.007 — Masquerading: Double File Extension (Defense Evasion)
• T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
• T1082 — System Information Discovery (Discovery)
• T1016 — System Network Configuration Discovery (Discovery)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1573 — Encrypted Channel (Command and Control)
• T1105 — Ingress Tool Transfer (Command and Control)
• T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)

IOC

• IPv4 : 193.233.82.43 — AbuseIPDB · VT · ThreatFox
• Domaines : serialmenot.com — VT · URLhaus · ThreatFox
• SHA256 : 7b793c54a927da36649eb62b9481d5bcf1e9220035d95bbfb85f44a6cc9541ae — VT · MalwareBazaar
• SHA256 : 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5 — VT · MalwareBazaar
• Fichiers : migcredit.pdf.msi
• Fichiers : Installer_v1.21.66.msi
• Fichiers : Juliet_widget15.ps1
• Fichiers : tango_utility84.ps1
• Fichiers : Viper_controller36.vbs
• Fichiers : error.vbs
• Fichiers : Uniform_system17.js
• Chemins : AppData\Local\documents\Juliet_widget15.ps1
• Chemins : %APPDATA%\Uniform_system17.js
• Chemins : $env:USERPROFILE\.deno\bin\deno.exe

Malware / Outils

• DinDoor (backdoor)
• Tsundere Botnet (rat)
• CastleLoader (loader)
• CastleRAT (rat)
• ChainShell (other)

🟢 Indice de vérification factuelle : 75/100 (haute)

• ⬜ hunt.io — source non référencée (0pts)
• ✅ 15000 chars — texte complet (fulltext extrait) (15pts)
• ✅ 14 IOCs dont des hashes (15pts)
• ✅ 4/4 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 15 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : MuddyWater, TAG-150 (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 193.233.82.43 (ip) → VT (7/94 détections)
• 7b793c54a927da36… (sha256) → VT (26/76 détections)
• 2a09bbb3d1ddb729… (sha256) → VT (35/77 détections)
• serialmenot.com (domain) → VT (26/94 détections) + ThreatFox (Unknown RAT)

🔗 Source originale : https://hunt.io/blog/dindoor-deno-runtime-backdoor-msi-analysis