🔍 Contexte
Publié le 30 avril 2026 par l’Acronis Threat Research Unit (TRU), ce rapport documente des campagnes actives d’abus des plateformes de distribution IA Hugging Face et ClawHub (écosystème OpenClaw) pour la livraison de malwares déguisés en modèles, datasets et extensions légitimes.
🎯 Vecteurs d’attaque principaux
ClawHub / OpenClaw
- 575 skills malveillants identifiés, distribués par 13 comptes développeurs
- Deux acteurs principaux : hightower6eu (334 skills, 58%) et sakaen736jih (199 skills, 35%)
- Ciblage cross-platform : Windows et macOS
- Technique clé : indirect prompt injection — des instructions malveillantes cachées dans des fichiers SKILL.md ou README poussent les agents IA à exécuter des actions malveillantes
- Les skills instruisent les utilisateurs à télécharger des archives protégées par mot de passe et des binaires non vérifiés depuis GitHub
Hugging Face
- Utilisé comme infrastructure de staging dans des chaînes d’infection multi-étapes
- Campagne ITHKRPAW : ciblage du secteur financier et d’entités au Vietnam, usage de Cloudflare Workers pour déployer un script PowerShell dropper, payload
omni-agent-v4.exedéguisé enmicrosoft-update-assist.exe - Campagne FAKESECURITY : script batch
CDC1.batavec blob PowerShell encodé, dropper multi-étapes avec injection de processus dansexplorer.exe, payload final déguisé en Windows Defender
🛠️ Techniques observées
- Social engineering via des noms de dépôts attractifs et README bien rédigés
- Obfuscation : encodage base64, XOR (clé 30 octets, clé 0xF1), chaînes déchiffrées à l’exécution
- In-memory execution et process injection dans explorer.exe
- Persistence : tâches planifiées (WindowsSystemService, RuntimeBrokerService), clés Run registry
- Évasion : exclusions Windows Defender, suppression Zone.Identifier (Mark-of-the-Web), mutex
- C2 chiffré : canal AES-CBC sur HTTPS vers
velvet-parrot.com:443 - Dead-drop resolver via bot Telegram (
t.me/dusty_vintage) - Payload macOS : script shell téléchargé depuis IP
91.92.242.30, suppression des attributs étendus (xattr -c)
🦠 Payloads identifiés
- AMOS Stealer : infostealer macOS vendu en MaaS via Telegram
- Trojan (binaire Windows packé avec VMProtect)
- Cryptominer : déposé comme
svchost.exe/RuntimeBroker.exe - Loader :
ClawHub-DependencyInstaller.exeavec déchiffrement AES-CBC en mémoire - RATs, infostealers, loaders divers sur Hugging Face (Windows, Linux, Android)
📌 Type d’article
Il s’agit d’une publication de recherche technique produite par Acronis TRU, visant à documenter et quantifier l’abus des écosystèmes IA comme nouveaux vecteurs de distribution de malwares, avec fourniture d’IOCs exploitables.
🧠 TTPs et IOCs détectés
Acteurs de menace
- hightower6eu (cybercriminal) —
- sakaen736jih (cybercriminal) —
- ITHKRPAW (unknown) —
- FAKESECURITY (unknown) —
TTP
- T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
- T1566 — Phishing (Initial Access)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
- T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1027.010 — Obfuscated Files or Information: Command Obfuscation (Defense Evasion)
- T1055.002 — Process Injection: Portable Executable Injection (Defense Evasion)
- T1055 — Process Injection (Privilege Escalation)
- T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
- T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
- T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
- T1102 — Web Service (Command and Control)
- T1105 — Ingress Tool Transfer (Command and Control)
- T1082 — System Information Discovery (Discovery)
- T1564.001 — Hide Artifacts: Hidden Files and Directories (Defense Evasion)
- T1553.005 — Subvert Trust Controls: Mark-of-the-Web Bypass (Defense Evasion)
- T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
IOC
- IPv4 :
91.92.242.30— AbuseIPDB · VT · ThreatFox - Domaines :
velvet-parrot.com— VT · URLhaus · ThreatFox - Domaines :
install.app-distribution.net— VT · URLhaus · ThreatFox - URLs :
http://91.92.242.30/6wioz8285kcbax6v— URLhaus - URLs :
http://91.92.242.30/1v07y9e1m6v7thl6— URLhaus - URLs :
https://velvet-parrot.com:443— URLhaus - URLs :
https://t.me/dusty_vintage— URLhaus - URLs :
https://glot.io/snippets/hfdxv8uyaf— URLhaus - URLs :
https://glot.io/snippets/hfd3x9ueu5— URLhaus - URLs :
https://rentry.co/openclaw-core— URLhaus - URLs :
https://install.app-distribution.net/setup/— URLhaus - SHA256 :
9db18aa394f554aa455f3039ce734b1653cc999089889c551fe263bd4bdc39fc— VT · MalwareBazaar - SHA256 :
122bea967f4c194fd5820123d13b7b71422c31f92b9fc0b0fa05aac3ff03dfaa— VT · MalwareBazaar - SHA256 :
d781d5cabaf5f305bbb8afcd9a54d7ba616bfa7aef5c4d16f6bce3d2bf3b4073— VT · MalwareBazaar - SHA256 :
f0a54f2b44e557854b0a5001c4e10185884af945814786f78b86539014f78a16— VT · MalwareBazaar - SHA256 :
fd3d52c2bb3764aabfe4da301967bfbc18e1c062d5dad2e9f4c3b6b6cf0ec9f8— VT · MalwareBazaar - SHA256 :
89930bd18e0f9c9c98dfb1662cb87aa98348e87164ab62b1f39e86ebf2ce24cb— VT · MalwareBazaar - SHA256 :
c7b93b6facfc23f49e35e81dc9c30cc69401b8245eeb7c032fc13656cd7e101f— VT · MalwareBazaar - SHA256 :
b5da6ffa5f85aa5016fbc02a3122361c85d21192c45df9544099d13e6ff84c36— VT · MalwareBazaar - SHA256 :
e84b1e2c432b2394c403b524b8361ffa9923a022eb05215f1dc811bc167c3c5e— VT · MalwareBazaar - SHA256 :
d42aecf76fb1531cd5b7139e669910b2fd82a90b7e11448128e226775bf5d42e— VT · MalwareBazaar - SHA256 :
579a82dde4425d95e20a22171be0a37702c833fdca6e5e04f69099a025863136— VT · MalwareBazaar - SHA256 :
462af0a3a9094d44c30cc65544ec1171a62365cff09e67f5e87e061a3d604bd0— VT · MalwareBazaar - Fichiers :
omni-agent-v4.exe - Fichiers :
microsoft-update-assist.exe - Fichiers :
CDC1.bat - Fichiers :
xt53.bat - Fichiers :
StartGD22OR21.bat - Fichiers :
WindowsDefender.exe - Fichiers :
Bao_Cao_Tai_Chinh_2024.pdf.lnk - Fichiers :
ClawHub-DependencyInstaller.zip - Fichiers :
ClawHub-DependencyInstaller.exe - Fichiers :
openclaw-agent.zip - Fichiers :
openclawcli.zip - Fichiers :
openclaw-core.zip - Fichiers :
openclawcore-1.0.3.zip - Fichiers :
openclaw_windriver.zip - Fichiers :
1v07y9e1m6v7thl6 - Chemins :
%APPDATA%\Microsoft\OfficeBroker\svchost.exe - Chemins :
%APPDATA%\Packages\Microsoft.Windows.PeopleExperienceHost_gw1n1c2fhyeqy\AC\Temp\RuntimeBroker.exe - Chemins :
%APPDATA%\Microsoft\OQvoig1QLXmD\vZJY8wQTBDxEtilj.bat
Malware / Outils
- AMOS Stealer (stealer)
- ClawHub-DependencyInstaller (loader)
- Cryptominer (other)
- FAKESECURITY dropper (loader)
- ITHKRPAW dropper (loader)
🟢 Indice de vérification factuelle : 95/100 (haute)
- ✅ acronis.com — source reconnue (Rösti community) (20pts)
- ✅ 31509 chars — texte complet (fulltext extrait) (15pts)
- ✅ 41 IOCs dont des hashes (15pts)
- ✅ 5/9 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 23 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : hightower6eu, sakaen736jih, ITHKRPAW (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
91.92.242.30(ip) → AbuseIPDB (43% confiance, 17 signalements) + VT (23/91 détections)9db18aa394f554aa…(sha256) → VT (23/76 détections)d781d5cabaf5f305…(sha256) → VT (27/77 détections)velvet-parrot.com(domain) → ThreatFox (SantaStealer)install.app-distribution.net(domain) → VT (15/91 détections)
🔗 Source originale : https://www.acronis.com/en/tru/posts/poisoning-the-well-ai-supply-chain-attacks-on-hugging-face-and-openclaw/