🔍 Contexte

Publié le 6 mai 2026 par SEQRITE Labs (source : seqrite.com), cet article présente l’analyse technique d’une campagne ciblée baptisée Operation Silent Rotor, découverte lors d’une surveillance active des menaces émergentes. La campagne est stratégiquement alignée avec le XIII Forum International Eurasiatique « Unmanned Aviation 2026 », prévu le 23 avril 2026 à Moscou.

🎯 Cibles et vecteur d’infection

La campagne cible des professionnels et organisations du secteur des systèmes d’aviation sans pilote (UAS/UAV) en Russie, Tadjikistan, Asie centrale, Moyen-Orient et Europe. Le vecteur initial est un spear phishing par pièce jointe distribuant une archive cai partner.zip contenant :

  • Un exécutable malveillant Rust 64 bits : Подтверждение заказа продукции ЦАИ.exe (« Confirmation de commande de produits CAI »)
  • Des documents leurres (PDF, DOCX, XLSX) imitant des documents professionnels légitimes liés au Centre d’Information Aéronautique Russe (ЦАИ/CAI)

⚙️ Analyse technique – Stage 1

À l’exécution, le malware :

  1. Affiche un document DOCX leurre en russe signé « Olimov J.M. » mentionnant des produits aéronautiques (licences Aerolotsia PRO, bases NOTAM, AIP Russie/CEI, cartes pour Boeing 737, IL-76, Boeing 777F)
  2. Collecte des informations système via GetComputerNameExW et GetVolumeInformationW pour créer un identifiant unique (XOR du hostname et du numéro de série du volume C:)
  3. Effectue une reconnaissance réseau : variables d’environnement (USER, USERDNSDOMAIN, COMPUTERNAME, USERPROFILE), adresses IPv4 via GetAdaptersAddresses/InetNtopW
  4. Exfiltre les données en JSON (via serde_json), chiffrées par XOR, vers cdn[.]kleymarket[.]ru via HTTPS POST (port 443)

⚙️ Analyse technique – Stage 2

Après réception de la réponse C2 :

  1. Déchiffrement AES-256 du payload en plusieurs étapes (clé extraite de la réponse serveur)
  2. Dépôt du payload avec un nom aléatoire de 6 caractères + extension .exe via NtWriteFile dans :
    • %USERPROFILE%\Documents\<random>.exe
    • C:\Users\Public\Documents\<random>.exe
  3. Exécution via CreateProcessA

🌐 Infrastructure & Attribution

Le domaine kleymarket[.]ru a été enregistré 9 jours avant l’analyse, sans détection par les vendeurs de sécurité au moment de l’investigation. Résolutions DNS passives :

  • 45[.]142[.]36[.]76 (résolution active au 2026-04-02, hébergée sous AS48347 MTW-AS, Moscou, Russie)
  • 92[.]62[.]113[.]232
  • 89[.]108[.]110[.]154

Aucune attribution à un acteur connu n’est établie. SEQRITE qualifie l’opération de bien planifiée et ciblée, avec des leurres en langue russe et un contenu contextuel spécifique au secteur.

📋 Type d’article

Analyse technique détaillée publiée par SEQRITE Labs, visant à documenter la chaîne d’infection, les TTPs et les IOCs d’une campagne ciblée inédite pour permettre la détection et la réponse.

🧠 TTPs et IOCs détectés

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1106 — Native API (Execution)
  • T1036.004 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1082 — System Information Discovery (Discovery)
  • T1016 — System Network Configuration Discovery (Discovery)
  • T1033 — System Owner/User Discovery (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1090.001 — Proxy: Internal Proxy (Command and Control)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1105 — Ingress Tool Transfer (Command and Control)

IOC

  • IPv4 : 45.142.36.76AbuseIPDB · VT · ThreatFox
  • IPv4 : 92.62.113.232AbuseIPDB · VT · ThreatFox
  • IPv4 : 89.108.110.154AbuseIPDB · VT · ThreatFox
  • Domaines : kleymarket.ruVT · URLhaus · ThreatFox
  • Domaines : cdn.kleymarket.ruVT · URLhaus · ThreatFox
  • SHA256 : 5936f42ffd7fa7896eeae725b60a5d26bbf3e5a84712671ef5da0138ee5d58f60VT · MalwareBazaar
  • SHA256 : fdef9e489f773319f55f92f712d1b7b5447d59a632b8f4173d1b161d3759ad92VT · MalwareBazaar
  • SHA256 : 57e26f6e3b311a1064c946b69159ee05abedf9228b2f95c65536429e7ac7fb24VT · MalwareBazaar
  • SHA256 : a7bd8869293212e1671df90d2d41b96d4933eb9408b1111bd830e111a91bb202VT · MalwareBazaar
  • SHA256 : 2064ef387ac9e51ba72b32004d99e8a0b291dbab24ed8db30f437abf1b40cb49VT · MalwareBazaar
  • SHA256 : 89f8e42c825d09a0a50e99bbf7304d7037be33ea362a57d34f87fa7981f80126VT · MalwareBazaar
  • Fichiers : Подтверждение заказа продукции ЦАИ.exe
  • Fichiers : cai partner (1).zip
  • Fichiers : cai partner.zip
  • Fichiers : Certificate of translation.PDF
  • Fichiers : Confirmation of CAICA products order and arrangement of a meeting at the Unmanned Aviation – 2026 forum to discuss payment details and sign a long-term contract.docx
  • Fichiers : summary_order_cai_final.xlsx
  • Chemins : %USERPROFILE%\Documents\<random>.exe
  • Chemins : C:\Users\Public\Documents\<random>.exe

Malware / Outils

  • Silent Rotor Rust Dropper (loader)

🟢 Indice de vérification factuelle : 67/100 (haute)

  • ⬜ seqrite.com — source non référencée (0pts)
  • ✅ 18928 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 19 IOCs dont des hashes (15pts)
  • ✅ 2/8 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 15 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 57e26f6e3b311a10… (sha256) → VT (4/75 détections)
  • cdn.kleymarket.ru (domain) → VT (3/91 détections)

🔗 Source originale : https://www.seqrite.com/blog/operation-silent-rotor-rust-malware-unmanned-aviation-sector/