🔍 Contexte

Publié le 22 avril 2026 par Ransom-ISAC (Alex Necula & Ellis Stannard), ce rapport documente une vulnérabilité 0-day critique de type BYOVD dans le driver Windows dragoncore_k.sys, signé par Microsoft WHQL au nom de Zhengzhou 403 Network Technology Co., Ltd., une société écran chinoise dont le certificat GlobalSign EV a été explicitement révoqué pour abus.

🐛 Vulnérabilité technique

Le driver expose une interface IOCTL non authentifiée (code 0x22201C) permettant à tout processus disposant de droits administrateur local de terminer des processus arbitraires depuis Ring 0, y compris ceux protégés par Protected Process Light (PPL), neutralisant ainsi tout EDR ou antivirus. Trois classes de vulnérabilités sont identifiées :

  • Absence de validation de privilèges : aucune vérification du niveau d’intégrité, de SeDebugPrivilege, ni de la protection PPL de la cible
  • ACL insécurisée sur l’objet device (\\.\3e0ac7f) : accessible par tout processus administrateur sans authentification supplémentaire
  • Taille du buffer d’entrée non validée : potentielle corruption mémoire secondaire

Le driver contient également un moteur de modification en mémoire de la ligne de commande des processus via manipulation du PEB (_RTL_USER_PROCESS_PARAMETERS.CommandLine), rendant les détections basées sur la ligne de commande inopérantes pour tous les EDR majeurs (CrowdStrike, SentinelOne, MDE, Carbon Black, Elastic).

🏢 Analyse de la société écran

Zhengzhou 403 Network Technology Co., Ltd. présente tous les marqueurs d’une société écran :

  • Capital enregistré minimal (10 000 RMB)
  • Adresse physique résolue à un immeuble résidentiel mixte (6e étage occupé par l’Evian Hotel)
  • Aucune présence commerciale vérifiable
  • Certificat GlobalSign EV explicitement révoqué le 19 mai 2025
  • Fondée le 22 janvier 2024 par Zhang Liye (100% des parts)

Une société successeur — Zhengzhou Lianliu Network Technology Co., Ltd. — a été enregistrée par Zhang Liye en août 2025, après la révocation du certificat et le signalement d’anomalie opérationnelle de Zhengzhou 403.

🐉 Attribution Dragon Breath APT-Q-27 (HAUTE CONFIANCE)

Trois flux de preuves convergent :

  1. Le certificat Zhengzhou 403 a signé letsvpn-3.12.3.exe sur MalwareBazaar, correspondant exactement au leurre LetsVPN documenté dans la campagne RONINGLOADER d’Elastic Security Labs (novembre 2025)
  2. L’architecture IOCTL de dragoncore_k.sys (0x22201C) est fonctionnellement identique à ollama.sys (Kunming Wuqi, 0x222000) — itération de version du même codebase
  3. Un endpoint C2 CobaltStrike partagé (oss-aws.1nb.xyz) est identifié sur les trois échantillons signés par le certificat Zhengzhou 403

🔗 Nexus personnel APT31 (CONFIANCE MOYENNE)

Zhang Liye est corrélé via les données de la fuite Breachedforums/WoyouLuma et les travaux d’Intrusion Truth (mai 2023) au personnel de Wuhan Xiaoruizhi Science and Technology, société écran confirmée de l’APT31 sanctionnée par l’OFAC et mise en cause dans l’acte d’accusation du DoJ américain (mars 2024). Ransom-ISAC confirme une correspondance dans la liste publiée par Intrusion Truth.

📦 Échantillons et infrastructure

Trois échantillons MalwareBazaar portent le certificat Zhengzhou 403 :

  • letsvpn-3.12.3.exe — leurre LetsVPN (CobaltStrike/Signed Loader)
  • tsetup-x64.5.13.1.exe — installateur Telegram Desktop trojanisé (CobaltStrike/Signed Loader)
  • SearchUpdate.exe — loader signé (CobaltStrike)

Le dropper principal jnsupx.exe est UPX-packé, avec détection d’environnement de débogage, persistance, auto-suppression et contrôles anti-sandbox.

📋 Type d’article

Rapport de recherche technique combinant analyse de vulnérabilité kernel, analyse de société écran par OSINT, attribution APT multi-niveaux et publication d’IOCs — destiné à la communauté CTI et aux équipes de défense.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1014 — Rootkit (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1588.002 — Obtain Capabilities: Tool (Resource Development)
  • T1055.009 — Process Injection: Process Hollowing (Defense Evasion)
  • T1564.010 — Hide Artifacts: Process Argument Spoofing (Defense Evasion)
  • T1057 — Process Discovery (Discovery)
  • T1518.001 — Software Discovery: Security Software Discovery (Discovery)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1622 — Debugger Evasion (Defense Evasion)

IOC

  • Domaines : oss-aws.1nb.xyzVT · URLhaus · ThreatFox
  • URLs : http://oss-aws.1nb.xyz/URLhaus
  • SHA256 : 1da4f7f001d239a54fab50eb7c3cbc985db392a3d4405e19c3a5d2035d591004VT · MalwareBazaar
  • SHA256 : e515a6e0738e699df2b569fafc234c534ac4417f29c2b4684acccda275bfec79VT · MalwareBazaar
  • SHA256 : ce38c96a69a8a1c6828e11742355c41b878198e08d7efbe73eefa1b5cbe623c5VT · MalwareBazaar
  • SHA256 : 00c250adb21fd14148f963a92fb5ec21d5eac2cd2f67501f03e28c5e7135422eVT · MalwareBazaar
  • SHA256 : da2c58308e860e57df4c46465fd1cfc68d41e8699b4871e9a9be3c434283d50bVT · MalwareBazaar
  • SHA256 : 8fc822b3e285030c6dcb36d7b9a52426e2b3eeaf643a28ef2cfcd1cb0709906fVT · MalwareBazaar
  • Fichiers : dragoncore_k.sys
  • Fichiers : letsvpn-3.12.3.exe
  • Fichiers : tsetup-x64.5.13.1.exe
  • Fichiers : SearchUpdate.exe
  • Fichiers : jnsupx.exe
  • Fichiers : ollama.sys
  • Fichiers : letsvpnlatest.exe
  • Fichiers : Snieoatwtregoable.exe

Malware / Outils

  • Cobalt Strike (framework)
  • dragoncore_k.sys (other)
  • ollama.sys (other)
  • RONINGLOADER (loader)
  • gh0st RAT (rat)
  • DonutLoader (loader)
  • Winos 4.0 (backdoor)
  • jnsupx.exe (loader)

🟢 Indice de vérification factuelle : 75/100 (haute)

  • ⬜ ransom-isac.org — source non référencée (0pts)
  • ✅ 47450 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 16 IOCs dont des hashes (15pts)
  • ✅ 4/5 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 12 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : APT-Q-27, APT31 (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 1da4f7f001d239a5… (sha256) → VT (7/76 détections)
  • e515a6e0738e699d… (sha256) → VT (44/75 détections)
  • ce38c96a69a8a1c6… (sha256) → VT (35/76 détections)
  • oss-aws.1nb.xyz (domain) → VT (14/92 détections) + ThreatFox (Cobalt Strike)

🔗 Source originale : https://ransom-isac.org/blog/dragonbreath-dragon-in-the-kernel/