Operation PhantomCLR : hijacking AppDomainManager et exécution .NET en mémoire ciblant le Moyen-Orient

🔍 Contexte

Publié le 17 avril 2026 par CYFIRMA, ce rapport présente l’analyse technique approfondie d’un framework post-exploitation avancé baptisé Operation PhantomCLR, ciblant des organisations du Moyen-Orient et du secteur financier EMEA.

🎯 Vecteur d’infection

L’attaque débute par un spear-phishing livrant une archive ZIP contenant six composants :

• IAStorHelp.exe — binaire Intel légitime et signé
• IAStorHelp.exe.config — fichier de configuration CLR weaponisé
• IAStorHelpMosquitoproof.dll — DLL .NET malveillante
• setting.yml — payload chiffré AES
• Work From Home Policy Update.pdf.lnk — déclencheur LNK masqué en PDF
• Un PDF leurre en arabe imitant un document officiel du gouvernement saoudien

Le fichier LNK utilise une double extension (.pdf.lnk) et résout l’icône PDF de Microsoft Edge pour tromper la victime. Le PDF leurre imite un document du Ministère saoudien avec formatage officiel, calendrier hégirien et typographie arabe authentique.

⚙️ Mécanisme technique

AppDomainManager Hijacking : Le fichier IAStorHelp.exe.config force le CLR .NET à charger IAStorHelpMosquitoproof.dll et à exécuter la classe stylohyoideus avant toute logique applicative légitime, sans modifier le binaire signé.

La chaîne d’attaque se déroule en 6 étapes :

1. Livraison par spear-phishing (ZIP)
2. Exécution du LNK → proxy via IAStorHelp.exe
3. Hijacking AppDomainManager via le fichier .config
4. Évasion sandbox double couche (délai 60 secondes + 892 007 itérations SHA-256 pour dériver une clé AES-128-CBC)
5. Chargement réflectif en mémoire + exécution shellcode via JIT trampolining
6. C2 via HTTPS domain fronting sur Amazon CloudFront CDN

🛡️ Techniques d’évasion

• JIT trampolining : exécution shellcode sans VirtualAlloc ni WriteProcessMemory
• Syscalls directs via NTDLL : contournement du monitoring userland
• Résolution d’API via PEB : pas d’appels Windows API standards
• Chargement DLL réflectif avec protections mémoire par section
• DLL injection storm : génération de bruit API bénin
• Nettoyage anti-forensique en deux phases : NtProtect puis NtFree
• Désobfuscation de chaînes : Base64 + XOR à clé répétée + UTF-8
• Architecture modulaire par plugins pour extension dynamique

📊 Attribution

Aucun acteur n’est explicitement nommé. Le niveau de sophistication est comparé à Cobalt Strike, Brute Ratel C4 et NightHawk. Les indicateurs culturels (arabe natif, connaissance institutionnelle saoudienne) suggèrent un APT à focus régional, sans attribution formelle.

📄 Nature du document

Il s’agit d’une analyse technique approfondie publiée par CYFIRMA, visant à documenter les TTPs d’un framework post-exploitation inédit pour alimenter les équipes CTI et de détection.

🧠 TTPs et IOCs détectés

TTP

• T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
• T1204.002 — User Execution: Malicious File (Execution)
• T1574.014 — Hijack Execution Flow: AppDomainManager (Persistence)
• T1055 — Process Injection (Defense Evasion)
• T1620 — Reflective Code Loading (Defense Evasion)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1497.003 — Virtualization/Sandbox Evasion: Time Based Evasion (Defense Evasion)
• T1218 — System Binary Proxy Execution (Defense Evasion)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1090.004 — Proxy: Domain Fronting (Command and Control)
• T1070 — Indicator Removal (Defense Evasion)
• T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
• T1036.007 — Masquerading: Double File Extension (Defense Evasion)
• T1547 — Boot or Logon Autostart Execution (Persistence)
• T1082 — System Information Discovery (Discovery)

IOC

• Fichiers : IAStorHelp.exe
• Fichiers : IAStorHelp.exe.config
• Fichiers : IAStorHelpMosquitoproof.dll
• Fichiers : setting.yml
• Fichiers : Work From Home Policy Update.pdf.lnk

Malware / Outils

• PhantomCLR (framework)
• Cobalt Strike (framework)
• Brute Ratel C4 (framework)
• NightHawk (framework)

🟡 Indice de vérification factuelle : 60/100 (moyenne)

• ✅ cyfirma.com — source reconnue (Rösti community) (20pts)
• ✅ 15000 chars — texte complet (fulltext extrait) (15pts)
• ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 15 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.cyfirma.com/research/operation-phantomclr-stealth-execution-via-appdomain-hijacking-and-in-memory-net-abuse/