🔍 Contexte

En avril 2026, l’équipe Profero IRT a identifié et analysé un backdoor .NET 8 nommé WindowsAudit.exe sur un hôte victime. L’analyse a été publiée le 28 avril 2026 sur le blog de Profero. L’activité a été signalée à la Direction nationale israélienne de la cybersécurité (INCD). La campagne est considérée comme potentiellement en phase de préparation vers une opération ransomware de plus grande envergure.

🧬 Caractéristiques du binaire

  • Nom : WindowsAudit.exe (version interne v1.5.77)
  • Type : RAT modulaire C# (.NET 8), single-file bundle natif
  • Taille : 101 Mo, non signé
  • Date de compilation : 19 mars 2026
  • Architecture : ~28 000 lignes de code C# avec séparation claire entre dispatch de commandes, transports C2 et modules fonctionnels

📡 Architecture C2 (trois canaux indépendants)

  • Discord (primaire) : bot token hardcodé, gateway intents 33281, polling de deux canaux (tasking + résultats/transferts jusqu’à 25 Mo), reconnexion avec back-off aléatoire 15–30 secondes
  • MQTT (secondaire) : broker HiveMQ Cloud public, port 8883 TLS, topics remoteadmin/commands et remoteadmin/results, client ID format ra-agent-{MachineName}-{short-guid}
  • Telegram (optionnel) : ensemble de commandes réduit (ping, exec, ps, screenshot, etc.)

🔒 Mécanismes de persistance

  • Service Windows WindowsAudit (LocalSystem, démarrage auto, récupération sur échec)
  • Abonnement WMI
  • Exclusion Windows Defender via Add-MpPreference
  • Sauvegarde dans %CommonProgramData%\Microsoft\Windows\WinSAT\WinSATTemp.exe
  • Clés de registre Run : WinSATService et WindowsAuditSvc sous HKCU\...\CurrentVersion\Run
  • Tâche planifiée RemoteAdminEdrCleanup (déclenchée au démarrage en Safe Mode)
  • Mutex : Global\WindowsAuditSingleInstance

🐾 Dropper compagnon : WinSATSvc

Un second binaire .NET 8 (WinSATSvc.exe) se fait passer pour le service légitime Windows System Assessment Tool. Il vérifie toutes les 3 minutes si l’agent principal tourne, et si non, récupère des chunks GZip depuis Discord pour reconstituer et relancer WinSATTemp.exe (copie fraîche de l’agent principal).

🔑 Accès aux credentials

  • Dump LSASS via comsvcs.dll!MiniDumpWriteDump
  • Extraction des ruches SAM/SYSTEM/SECURITY via Volume Shadow Copy
  • Vol de credentials navigateurs (Chrome, Edge, Brave) via DPAPI et chromelevator.exe embarqué
  • Dump Credential Manager Windows
  • Kerberoasting, AS-REP roasting, Pass-the-Hash, Pass-the-Ticket
  • Extraction de profils WiFi en clair
  • Abus de tokens de processus

🏛️ Abus Active Directory

  • Découverte : ad_users, enum_spns, enum_gpo, netscan, smbscan, enum_sessions (NetSessionEnum)
  • Abus ACL : changement de mot de passe forcé, ajout de membres, prise de propriété, octroi DCSync
  • RBCD (Resource-Based Constrained Delegation)
  • Énumération de chemins ACL style BloodHound
  • Depuis SYSTEM : prise de contrôle du domaine en une commande

🛡️ Évasion et suppression d’EDR

  • Hell’s Gate : bypass des hooks userland sur les NT APIs pour récupérer les SSNs originaux
  • Suppression d’EDR : CrowdStrike, SentinelOne, Carbon Black, Cylance, Symantec, McAfee, Trellix, Sophos, ESET, Kaspersky, Trend Micro, Cortex XDR, Cybereason, Bitdefender, Webroot, Malwarebytes
  • Séquence : désinstallation silencieuse → force-stop + suppression des répertoires → pivot en Safe Mode + tâche planifiée de nettoyage
  • Patch AMSI : amsi!AmsiScanBuffer patché en mémoire
  • Patch ETW : ntdll!EtwEventWrite patché pour supprimer la télémétrie

💉 Primitives d’exécution et manipulation de processus

  • exec (CMD), ps (PowerShell), shell interactif via threads Discord, smb_exec (WMI/SMB distant)
  • Injection APC / process hollowing, PPID spoofing, PE header zeroing

📷 Surveillance

  • Screenshot, enregistrement écran (H.264 MP4), stream live vers Discord
  • Capture webcam (MediaFoundation), enregistrement microphone
  • Keylogger (WH_KEYBOARD_LL + titre de fenêtre)
  • Blackout moniteur, verrouillage clavier/souris, géolocalisation Windows

🌐 VPN, tunneling et mouvement latéral

  • WireGuard : auto-installé depuis wireguard.com, subnet 10.13.37.1/24
  • Client OpenVPN : connexion à un fichier .ovpn fourni par l’opérateur
  • Proxy SOCKS5 on-agent + relay Discord
  • Tunnels TCP bidirectionnels via AgentRelayManager
  • Déploiement d’agent via SMB + sc.exe

📋 Type d’article

Il s’agit d’une analyse technique approfondie publiée par Profero IRT, visant à documenter les capacités d’un RAT .NET découvert en environnement réel, fournir des IOCs et des règles de détection aux équipes de sécurité, et alerter sur une campagne potentiellement en escalade vers le ransomware.

🧠 TTPs et IOCs détectés

TTP

  • T1218 — Signed Binary Proxy Execution (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (AMSI Bypass) (Defense Evasion)
  • T1562.006 — Impair Defenses: Indicator Blocking (ETW Tampering) (Defense Evasion)
  • T1562.009 — Impair Defenses: Safe Mode Boot (Defense Evasion)
  • T1055.004 — Process Injection: Asynchronous Procedure Call (Defense Evasion)
  • T1134.004 — Access Token Manipulation: Parent PID Spoofing (Defense Evasion)
  • T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
  • T1003.002 — OS Credential Dumping: Security Account Manager (Credential Access)
  • T1555.004 — Credentials from Password Stores: Windows Credential Manager (Credential Access)
  • T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
  • T1558.004 — Steal or Forge Kerberos Tickets: AS-REP Roasting (Credential Access)
  • T1003.006 — OS Credential Dumping: DCSync (Credential Access)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1546.003 — Event Triggered Execution: Windows Management Instrumentation Event Subscription (Persistence)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1102.002 — Web Service: Bidirectional Communication (Discord C2) (Command and Control)
  • T1102 — Web Service (MQTT) (Command and Control)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1113 — Screen Capture (Collection)
  • T1123 — Audio Capture (Collection)
  • T1125 — Video Capture (Collection)
  • T1484.001 — Domain Policy Modification: Group Policy Modification (RBCD Delegation Abuse) (Privilege Escalation)

IOC

  • Domaines : discord.comVT · URLhaus · ThreatFox
  • Domaines : gateway.discord.ggVT · URLhaus · ThreatFox
  • Domaines : api.ipify.orgVT · URLhaus · ThreatFox
  • Domaines : download.wireguard.comVT · URLhaus · ThreatFox
  • Domaines : r13.c.lencr.orgVT · URLhaus · ThreatFox
  • URLs : https://api.ipify.orgURLhaus
  • Fichiers : WindowsAudit.exe
  • Fichiers : WindowsAudit.dll
  • Fichiers : WinSATTemp.exe
  • Fichiers : WinSATSvc.exe
  • Fichiers : chromelevator.exe
  • Chemins : %CommonProgramData%\Microsoft\Windows\WinSAT\WinSATTemp.exe
  • Chemins : %CommonProgramData%\Microsoft\Windows\WinSAT\WinSATSvc.exe

Malware / Outils

  • WindowsAudit (rat)
  • WinSATSvc (loader)

🟡 Indice de vérification factuelle : 58/100 (moyenne)

  • ⬜ profero.io — source non référencée (0pts)
  • ✅ 13620 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 13 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 1/4 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 23 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • discord.com (domain) → ThreatFox (Luna Grabber)

🔗 Source originale : https://profero.io/blog/windowsaudit-backdoor/