🔍 Contexte

Publié le 23 avril 2026 par SentinelLabs (Vitaly Kamluk & Juan Andrés Guerrero-Saade), cet article présente l’analyse technique approfondie d’un implant APT inédit nommé fast16, découvert dans les archives de la fuite ShadowBrokers. L’artefact daterait d’environ 2005, soit cinq ans avant la découverte publique de Stuxnet.

🧩 Composants de l’implant

L’implant fast16 est constitué de deux éléments principaux :

  • svcmgmt.exe : binaire porteur (carrier) écrit en C++, embarquant un payload Lua bytecode (magic bytes 1B 4C 75 61). Il gère la propagation via des « wormlets », vérifie la présence de firewalls personnels, et communique via un named pipe \.pipep577.
  • fast16.sys : driver de système de fichiers Windows (type Start=0 Type=2), enregistré via IoRegisterFsRegistrationChange, interceptant les IRP (IRP_MJ_CREATE, IRP_MJ_READ, IRP_MJ_CLOSE, etc.) pour patcher à la volée des données en virgule flottante dans des fichiers ciblés.

⚙️ Mécanismes techniques

  • Le carrier vérifie la présence de 18 solutions de sécurité (Symantec, Kaspersky, ZoneLabs, McAfee, F-Secure, etc.) via des clés de registre avant propagation.
  • Le driver implémente un moteur de patching basé sur des règles : il recherche des patterns binaires spécifiques dans des fichiers .EXE et corrompt des calculs flottants de manière chirurgicale.
  • Les artefacts compilateur (Intel Compiler, sections .xdata/.pdata) et les chaînes de version @(#)par.h $Revision: 1.3 $ permettent d’établir une filiation avec des projets internes.
  • Le chemin PDB C:\buildy\driver\fd\i386\fast16.pdb confirme un environnement de build dédié.

🎯 Cibles identifiées

L’analyse des patterns de patching identifie trois candidats logiciels cibles :

  1. LS-DYNA 970 : suite de simulation par éléments finis
  2. PKPM : suite logicielle chinoise de CAO structurale (modules béton, SATWE, CAD bâtiment)
  3. MOHID : suite de modélisation hydrodynamique

Ces logiciels sont utilisés dans l’ingénierie civile, structurale et environnementale.

📌 Indicateurs et règles de détection

SentinelLabs publie quatre règles YARA couvrant :

  • Le carrier (apt_fast16_carrier) — hash SHA256 : 9a10e1faa86a5d39417cae44da5adf38824dfb9a16432e34df766aa1dc9e3525
  • Le driver (apt_fast16_driver) — hash SHA256 : 07c69fc33271cf5a2ce03ac1fed7a3b16357aec093c5bf9ef61fbfa4348d0529
  • Les cibles potentielles (clean_fast16_patchtarget) — hash SHA256 : 8fcb4d3d4df61719ee3da98241393779290e0efcd88a49e363e2a2dfbc04dae9
  • Le code de patch (apt_fast16_patch) — hash MD5 : 0ff6abe0252d4f37a196a1231fae5f26

📄 Nature de l’article

Il s’agit d’une publication de recherche technique à visée CTI, dont l’objectif principal est de documenter un implant APT historique inédit, d’établir sa filiation avec l’écosystème ShadowBrokers, et de fournir des règles de détection exploitables.

🧠 TTPs et IOCs détectés

TTP

  • T1014 — Rootkit (Defense Evasion)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1112 — Modify Registry (Defense Evasion)
  • T1083 — File and Directory Discovery (Discovery)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1485 — Data Destruction (Impact)
  • T1565.001 — Data Manipulation: Stored Data Manipulation (Impact)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1071.003 — Application Layer Protocol: Mail Protocols (Command and Control)
  • T1570 — Lateral Tool Transfer (Lateral Movement)

IOC

  • SHA256 : 9a10e1faa86a5d39417cae44da5adf38824dfb9a16432e34df766aa1dc9e3525VT · MalwareBazaar
  • SHA256 : 07c69fc33271cf5a2ce03ac1fed7a3b16357aec093c5bf9ef61fbfa4348d0529VT · MalwareBazaar
  • SHA256 : 8fcb4d3d4df61719ee3da98241393779290e0efcd88a49e363e2a2dfbc04dae9VT · MalwareBazaar
  • MD5 : 0ff6abe0252d4f37a196a1231fae5f26VT · MalwareBazaar
  • Fichiers : fast16.sys
  • Fichiers : svcmgmt.exe
  • Fichiers : svcmgmt.dll
  • Chemins : C:\buildy\driver\fd\i386\fast16.pdb
  • Chemins : \Device\fast16
  • Chemins : \??\fast16
  • Chemins : \\.\pipe\p577

Malware / Outils

  • fast16.sys (other)
  • svcmgmt.exe (loader)
  • ConnotifyDLL (other)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ sentinelone.com — source reconnue (liste interne) (20pts)
  • ✅ 19384 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 11 IOCs dont des hashes (15pts)
  • ✅ 3/3 IOCs confirmés (MalwareBazaar, ThreatFox, VirusTotal) (15pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 9a10e1faa86a5d39… (sha256) → VT (3/76 détections)
  • 07c69fc33271cf5a… (sha256) → VT (15/76 détections)
  • 8fcb4d3d4df61719… (sha256) → VT (3/76 détections)

🔗 Source originale : https://www.sentinelone.com/labs/fast16-mystery-shadowbrokers-reference-reveals-high-precision-software-sabotage-5-years-before-stuxnet/