CloudZ RAT et plugin Pheno ciblent Microsoft Phone Link pour voler des OTP

🔍 Contexte

Cisco Talos a publié le 5 mai 2026 une analyse technique détaillée d’une intrusion découverte via télémétrie, active depuis au moins janvier 2026. Un attaquant inconnu a déployé un RAT modulaire nommé CloudZ ainsi qu’un plugin inédit baptisé Pheno, dans le but de voler des identifiants et potentiellement des mots de passe à usage unique (OTP).

🎯 Vecteur d’accès initial et chaîne d’infection

Le vecteur d’accès initial est inconnu. La chaîne d’infection observée est la suivante :

1. Exécution d’une fausse mise à jour de ScreenConnect (exécutable malveillant)
2. Dépôt et exécution d’un loader .NET intermédiaire
3. Déploiement du RAT CloudZ sur la machine victime

Un dropper compilé en Rust (64 bits), déguisé sous les noms systemupdates.exe ou Windows-interactive-update.exe, compilé le 1er janvier 2026, déchiffre et dépose un loader .NET (déguisé en fichier texte update.txt ou msupdate.txt) dans C:\ProgramData\Microsoft\windosDoc\.

🛡️ Techniques d’évasion

• Vérification temporelle (timing-based evasion) pour détecter les environnements d’analyse
• Énumération des processus pour détecter Wireshark, Fiddler, Procmon, Sysmon
• Vérification matérielle : au moins 2 cœurs CPU, absence de chaînes “VIRTUAL” ou “SANDBOX” dans les chemins système
• Exécution de fonctions malveillantes dynamiquement en mémoire via System.Reflection.Emit.DynamicMethod
• Détection de profiler/debugger via la variable d’environnement _ENABLE_PROFILING
• Obfuscation ConfuserEx du binaire CloudZ
• Déchiffrement XOR (clé 0xCA) des payloads embarqués

🔧 Persistance

Un script PowerShell embarqué crée une tâche planifiée nommée SystemWindowsApis dans \Microsoft\Windows\, configurée pour s’exécuter au démarrage sous le compte SYSTEM avec les privilèges les plus élevés, via le LOLBin regasm.exe.

📡 Infrastructure C2

• Configuration secondaire téléchargée depuis Cloudflare Workers ou Pastebin (compte attaquant : HELLOHIALL)
• Connexion C2 via socket TCP vers 185.196.10.136:8089
• Rotation entre 3 user-agents pour masquer le trafic HTTP
• En-têtes anti-cache pour éviter la mise en cache par les proxies

🔌 Plugin Pheno – Interception Phone Link

Le plugin Pheno est conçu pour :

• Scanner les processus actifs à la recherche de YourPhone, PhoneExperienceHost ou Link to Windows
• Écrire les PID et chemins dans des fichiers phonelink-<COMPUTERNAME>.txt dans les dossiers de staging
• Rechercher le mot-clé proxy pour confirmer une session Phone Link active
• Écrire “Maybe connected” si une session active est détectée

Cela permet à l’attaquant via CloudZ d’intercepter la base de données SQLite de Phone Link (PhoneExperiences-*.db) contenant SMS, journaux d’appels et notifications d’applications d’authentification, compromettant potentiellement les OTP SMS.

📋 Commandes CloudZ

CloudZ supporte notamment : heartbeat, exécution shell, exfiltration de données navigateur, reconnaissance Phone Link, chargement/sauvegarde/envoi de plugins, gestion de fichiers, enregistrement d’écran.

📄 Type d’article

Il s’agit d’une analyse technique publiée par Cisco Talos, dont le but principal est de documenter une nouvelle menace (CloudZ RAT + plugin Pheno) et de fournir des indicateurs de compromission et signatures de détection exploitables.

🧠 TTPs et IOCs détectés

TTP

• T1566 — Phishing (Initial Access)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
• T1218.009 — System Binary Proxy Execution: Regasm/Regsvcs (Defense Evasion)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1055 — Process Injection (Defense Evasion)
• T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
• T1622 — Debugger Evasion (Defense Evasion)
• T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
• T1105 — Ingress Tool Transfer (Command and Control)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1102 — Web Service (Command and Control)
• T1573 — Encrypted Channel (Command and Control)
• T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1113 — Screen Capture (Collection)
• T1005 — Data from Local System (Collection)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1197 — BITS Jobs (Defense Evasion)

IOC

• IPv4 : 185.196.10.136 — AbuseIPDB · VT · ThreatFox
• Domaines : round-cherry-4418.hellohiall.workers.dev — VT · URLhaus · ThreatFox
• Domaines : pastebin.com — VT · URLhaus · ThreatFox
• Domaines : orange-cell-1353.hellohiall.workers.dev — VT · URLhaus · ThreatFox
• URLs : https://round-cherry-4418.hellohiall.workers.dev/?t=1773406370 — URLhaus
• URLs : https://pastebin.com/raw/8pYAgF0Z?t=1771833517 — URLhaus
• Fichiers : systemupdates.exe
• Fichiers : Windows-interactive-update.exe
• Fichiers : update.txt
• Fichiers : msupdate.txt
• Fichiers : pheno.exe
• Chemins : C:\ProgramData\Microsoft\windosDoc\update.txt
• Chemins : C:\ProgramData\Microsoft\windosDoc\msupdate.txt
• Chemins : C:\ProgramData\Microsoft\whealth\
• Chemins : C:\programdata\Microsoft\feedback\cm
• Chemins : C:\Windows\TEMP\pheno.exe

Malware / Outils

• CloudZ (rat)
• Pheno (other)
• ConfuserEx (tool)

🟢 Indice de vérification factuelle : 85/100 (haute)

• ✅ blog.talosintelligence.com — source reconnue (liste interne) (20pts)
• ✅ 16917 chars — texte complet (fulltext extrait) (15pts)
• ✅ 16 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 4/6 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 20 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 185.196.10.136 (ip) → VT (9/91 détections)
• round-cherry-4418.hellohiall.workers.dev (domain) → VT (8/91 détections)
• pastebin.com (domain) → ThreatFox (XWorm)
• orange-cell-1353.hellohiall.workers.dev (domain) → VT (10/91 détections)

🔗 Source originale : https://blog.talosintelligence.com/cloudz-pheno-infostealer/