🔍 Contexte

Publié le 21 avril 2026 par Anna Širokova sur le blog Rapid7, cet article présente une analyse technique approfondie du ransomware Kyber, découvert lors d’un engagement de réponse à incident en mars 2026. Deux variantes ont été récupérées dans le même environnement victime, offrant une opportunité rare d’analyse comparative.

🧩 Description des variantes

Variante Linux/ESXi (ELF)

  • Binaire 64-bit ELF, écrit en C++ (GCC 4.4.7), non packé, non obfusqué
  • Cible explicitement les datastores VMware ESXi (/vmfs/volumes)
  • Utilise les outils natifs ESXi : esxcli pour lister et terminer les VMs
  • Chiffrement réel : ChaCha8 + RSA-4096 (wrapping de clé), malgré une note de rançon affirmant AES-256-CTR + X25519 + Kyber1024
  • Extension des fichiers chiffrés : .xhsyw
  • Note de rançon : readme.txt
  • Déface les interfaces SSH (/etc/motd) et web VMware (/usr/lib/vmware/hostd/docroot/index.html)
  • Exécution en arrière-plan via fork() + setsid() pour survivre à la fermeture de session SSH
  • Chiffrement partiel basé sur la taille des fichiers (10% par défaut pour les fichiers >4 MB)

Variante Windows (PE)

  • Binaire 64-bit PE, écrit en Rust (MSVC/VS2022), non packé, non obfusqué
  • Chemin de build exposé : C:\Users\user\.cargo\registry\src\index.crates.io-6f17d22bba15001f
  • Chiffrement réel : AES-256-CTR + Kyber1024 + X25519 (conforme aux affirmations de la note)
  • Extension des fichiers chiffrés : .#~~~
  • Note de rançon : READ_ME_NOW.txt
  • Pipeline d’entropie personnalisé (temps système, CSPRNG Windows, RDRAND, données de processus)
  • Fonctionnalité Hyper-V expérimentale via PowerShell (Get-VM, Stop-VM -Force -TurnOff)
  • 11 commandes anti-récupération si exécuté avec élévation de privilèges :
    • Suppression des shadow copies (WMI, WMIC, vssadmin)
    • Désactivation du Windows Recovery Environment (bcdedit)
    • Suppression des sauvegardes système (wbadmin)
    • Arrêt d’IIS, effacement des journaux d’événements (wevtutil), vidage de la corbeille
  • Terminaison de services : msexchange, vss, backup, veeam, sql
  • Enregistrement d’une icône personnalisée pour les fichiers .#~~~ via le registre Windows
  • Mutex : boomplay[.]com/songs/182988982

🔗 Infrastructure partagée

Les deux variantes partagent un identifiant de campagne commun (5176[REDACTED]) et une infrastructure Tor :

  • Portail de négociation : mlnmlnnrdhcaddwll4zqvfd2vyqsgtgj473gjoehwna2v4sizdukheyd[.]onion
  • Blog de fuite : kyblogtz6k3jtxnjjvluee5ec4g3zcnvyvbgsnq5thumphmqidkt7xid[.]onion

⚠️ Écart entre marketing et réalité

La variante ESXi ment sur son chiffrement : la note de rançon revendique Kyber1024 post-quantique, mais le code utilise ChaCha8. La variante Windows, elle, implémente réellement le schéma hybride annoncé.

📋 Type d’article

Il s’agit d’une analyse technique publiée par Rapid7 à des fins de partage de renseignements sur les menaces avec la communauté CTI, basée sur un incident réel de mars 2026.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Kyber (cybercriminal) —

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1485 — Data Destruction (Impact)
  • T1489 — Service Stop (Impact)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)

IOC

  • Domaines : mlnmlnnrdhcaddwll4zqvfd2vyqsgtgj473gjoehwna2v4sizdukheyd.onionVT · URLhaus · ThreatFox
  • Domaines : kyblogtz6k3jtxnjjvluee5ec4g3zcnvyvbgsnq5thumphmqidkt7xid.onionVT · URLhaus · ThreatFox
  • SHA256 : 6ccacb7567b6c0bd2ca8e68ff59d5ef21e8f47fc1af70d4d88a421f1fc5280fcVT · MalwareBazaar
  • SHA256 : 45bff0df2c408b3f589aed984cc331b617021ecbea57171dac719b5f545f5e8dVT · MalwareBazaar
  • SHA256 : 4eda176db5e2114cda8cfb3f83ad2ecd4c476f1af3d0ad8c81a54c0a223a29VT · MalwareBazaar
  • Fichiers : readme.txt
  • Fichiers : READ_ME_NOW.txt
  • Fichiers : processed_file.icon
  • Chemins : /vmfs/volumes
  • Chemins : /etc/motd
  • Chemins : /usr/lib/vmware/hostd/docroot/index.html
  • Chemins : /usr/lib/vmware/hostd/docroot/ui/index.html
  • Chemins : C:\fucked_icon\processed_file.icon

Malware / Outils

  • Kyber Ransomware (ESXi/Linux variant) (ransomware)
  • Kyber Ransomware (Windows variant) (ransomware)

🟢 Indice de vérification factuelle : 88/100 (haute)

  • ✅ rapid7.com — source reconnue (liste interne) (20pts)
  • ✅ 22129 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 13 IOCs dont des hashes (15pts)
  • ✅ 1/5 IOC(s) confirmé(s) (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Kyber (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • kyblogtz6k3jtxnjjvluee5ec4g3zcnvyvbgsnq5thumphmqidkt7xid.onion (domain) → VT (3/94 détections)

🔗 Source originale : https://www.rapid7.com/blog/post/tr-kyber-ransomware-double-trouble-windows-esxi-attacks-explained/