🔍 Contexte

PubliĂ© le 27 avril 2026 par Kirk sur derp.ca, cet article prĂ©sente une analyse technique dĂ©taillĂ©e de M3rx, un nouveau groupe ransomware apparu publiquement fin avril 2026. RansomLook recense six posts associĂ©s Ă  ce groupe au 27 avril 2026, dont cinq publiĂ©s le 26 avril. PurpleOps rĂ©fĂ©rence la mĂȘme activitĂ© sous le label M3RXDLS.

🎯 Victimes revendiquĂ©es

Le groupe revendique des victimes dans plusieurs pays :

  • rotak.it (IT) — 23 avril 2026
  • rainforestclean.com — 259 Go, 77k fichiers
  • airdriephysio.com — 54 Go, 116k fichiers
  • primeproperties.com.au — 100 Go, 81k fichiers
  • anvilarts.org.uk — 480 Go, 299k fichiers
  • dmschweiz.ch — 120 Go, 100k fichiers

Zones gĂ©ographiques concernĂ©es : États-Unis, Canada, Australie, Royaume-Uni, Suisse, Italie.

đŸ› ïž CaractĂ©ristiques techniques du sample

L’Ă©chantillon analysĂ© est un binaire PE32+ x64 compilĂ© en Go 1.20.14 (flag -trimpath=true), soumis sur Triage le 2026-04-25 :

  • SHA256 : b09ece33ffe5efb1903526229595a8c74d983c731505bee09c2a005036c834b8
  • Extension chiffrĂ©e : .8hmlsewu avec noms de fichiers alĂ©atoires de 16 caractĂšres
  • Note de rançon : RECOVERY_NOTES.TXT
  • Auto-suppression via boucle PowerShell
  • Vidage de la Corbeille via SHEmptyRecycleBin
  • DĂ©verrouillage de fichiers via Restart Manager (rstrtmgr.dll)

🔐 MĂ©canisme de chiffrement

M3rx implémente deux couches de matériel cryptographique :

Par processus :

  • GĂ©nĂ©ration d’une paire de clĂ©s Ă©phĂ©mĂšres X25519
  • ECDH avec la clĂ© publique opĂ©rateur (champ K1 de la config)
  • Secret partagĂ© 32 octets stockĂ© en global 0x6c80e0

Par fichier :

  • IV 16 octets + clĂ© AES-256 gĂ©nĂ©rĂ©s alĂ©atoirement
  • Corps du fichier chiffrĂ© en AES-CTR
  • ClĂ© AES par fichier encapsulĂ©e en AES-GCM avec le secret X25519

Un footer de 0x400 octets est ajoutĂ© Ă  chaque fichier chiffrĂ©, existant en deux Ă©tats (staging : magic 0x3828ac45 ; final : magic 0x741fbe88). En Ă©tat staging, la clĂ© AES en clair est encore prĂ©sente Ă  l’offset +0x18.

⚙ Configuration embarquĂ©e

La config est stockĂ©e dans .rdata Ă  l’adresse virtuelle 0x55ecbf sous forme d’un blob de 0x1000 octets. AprĂšs reconstruction du header gzip manquant et dĂ©compression, le payload est un Go gob contenant :

  • K1 : clĂ© publique X25519 opĂ©rateur
  • EX : extension .8hmlsewu
  • NN : nom de la note RECOVERY_NOTES.TXT
  • NT : template de note de rançon (1361 octets)

🌐 Infrastructure

  • Leak site : 4k6plf4h2cm2nco6ae3inrsxnmqgl6lllmwefydhnlcq4tuhwbj4qpad.onion
  • Chat/client area : pippahtohg6qgioqu3ixrsueefuw7thythmmeanyrgwn3eixcuu6jvqd.onion
  • Tox ID : DD4CA16A64E18B1A0BF2
  • Token ransom note : 9A1217BEDA4AB77052A25D17CB6FFB34AFA2BE462E607F2FD8E1DF1D

📄 Type d’article

Il s’agit d’une analyse technique de malware (reverse engineering), visant Ă  documenter le format de fichier, le schĂ©ma cryptographique, les artefacts de dĂ©tection et les conditions de rĂ©cupĂ©ration partielle pour la communautĂ© CTI.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • M3rx (cybercriminal) —

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1083 — File and Directory Discovery (Discovery)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1490 — Inhibit System Recovery (Impact)
  • T1560 — Archive Collected Data (Collection)
  • T1657 — Financial Theft (Impact)
  • T1027 — Obfuscated Files or Information (Defense Evasion)

IOC

  • URLs : http://4k6plf4h2cm2nco6ae3inrsxnmqgl6lllmwefydhnlcq4tuhwbj4qpad.onion — URLhaus
  • URLs : http://pippahtohg6qgioqu3ixrsueefuw7thythmmeanyrgwn3eixcuu6jvqd.onion — URLhaus
  • SHA256 : b09ece33ffe5efb1903526229595a8c74d983c731505bee09c2a005036c834b8 — VT · MalwareBazaar
  • SHA256 : fc18506bbbbe57fdcecaa424735705501480e6708b634457010a5cf6bdc42525 — VT · MalwareBazaar
  • SHA1 : 521b1bd3f30ca50eaee6f74718b97dbe8a49c245 — VT · MalwareBazaar
  • MD5 : 071e2e0087554d96bba6a4ab73d88cd0 — VT · MalwareBazaar
  • Fichiers : b09ece33ffe5efb1903526229595a8c74d983c731505bee09c2a005036c834b8.exe
  • Fichiers : RECOVERY_NOTES.TXT

Malware / Outils

  • M3rx (ransomware)

🟱 Indice de vĂ©rification factuelle : 68/100 (haute)

  • ⬜ derp.ca — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 10265 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 8 IOCs dont des hashes (15pts)
  • ✅ 1/4 IOC(s) confirmĂ©(s) (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 8 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifiĂ©(s) : M3rx (5pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

IOCs confirmés externellement :

  • b09ece33ffe5efb1
 (sha256) → VT (40/76 dĂ©tections)

🔗 Source originale : https://www.derp.ca/research/m3rx-ransomware-go-encryptor/