EtherRAT et TukTuk mènent au déploiement du ransomware The Gentleman via blockchain C2

🔍 Contexte

Rapport d’incident publié le 11 mai 2026 par The DFIR Report, documentant une intrusion observée en avril 2026 et liée à une campagne précédemment rapportée par Atos en mars 2026. La famille de malware EtherRAT avait été initialement découverte par Sysdig en décembre 2025 ciblant des serveurs Linux via CVE-2025-55182 (React2Shell).

🎯 Vecteur d’accès initial

Un utilisateur a exécuté un installeur MSI malveillant (RAMMap.msi) se faisant passer pour l’utilitaire Sysinternals RAMMap. Ce MSI a déployé une variante d’EtherRAT qui :

• Télécharge un runtime Node.js portable
• Lance des payloads JavaScript obfusqués
• Établit une persistance via une clé de registre Run (HKCU\Software\Microsoft\Windows\CurrentVersion\Run)
• Contacte 1rpc.io pour récupérer la configuration C2 hébergée sur la blockchain Ethereum (technique EtherHiding)

⚙️ Infrastructure C2 et déploiement TukTuk

L’acteur a mis à jour la configuration Ethereum pour diriger le malware vers un tunnel TryCloudflare, activant les communications C2. Des domaines leurres ont été poussés simultanément pour compliquer l’attribution.

Des payloads supplémentaires ont été téléchargés depuis des buckets S3, déployant le framework TukTuk via DLL sideloading en se faisant passer pour des binaires légitimes :

• Greenshot.exe
• SyncTrayzor.exe
• docfx.exe
• Cake.exe

TukTuk utilise ClickHouse et Supabase comme canaux C2 primaires, avec des canaux de secours via Ably, Dropbox, HTTP direct ou GitHub Issues. Il peut également utiliser Arweave comme dead-drop resolver via un Drive-Id codé en dur.

🔑 Mouvement latéral et accès aux identifiants

Après l’exécution de TukTuk, l’acteur a mené :

• Des opérations de Kerberoasting
• Du dumping LSASS/NTDS (via comsvcs.dll et lsassy)
• Utilisation de Mimikatz, NetExec (nxc), RDP, SMB, WinRM
• Déploiement latéral de GoTo Resolve (RMM) via des credentials de comptes de service compromis
• Réinitialisation de mots de passe de comptes privilégiés
• Reconnaissance Active Directory étendue
• Utilisation de SoftPerfect Network Scanner

📤 Exfiltration

Rclone (v1.73.5) a été utilisé pour exfiltrer de larges volumes de données vers le service de stockage cloud Wasabi.

💣 Déploiement du ransomware

Trois jours après l’intrusion initiale, le ransomware The Gentleman a été déployé :

• Désactivation de Microsoft Defender, ajout d’exclusions AV
• Arrêt des machines virtuelles
• Suppression des shadow copies et des logs d’événements
• Suppression des artefacts forensiques
• Déploiement via une GPO malveillante exécutant des binaires depuis SYSVOL/NETLOGON via des tâches planifiées
• Propagation domain-wide avec dépôt de notes de rançon et modification des fonds d’écran

📋 Type d’article

Rapport d’incident technique détaillé (flash alert) publié par The DFIR Report, visant à documenter la chaîne d’attaque complète et fournir des éléments de détection et de threat hunting aux défenseurs.

🧠 TTPs et IOCs détectés

TTP

• T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
• T1204.002 — User Execution: Malicious File (Execution)
• T1218.007 — System Binary Proxy Execution: Msiexec (Defense Evasion)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1102 — Web Service (Command and Control)
• T1568 — Dynamic Resolution (Command and Control)
• T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
• T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
• T1003.003 — OS Credential Dumping: NTDS (Credential Access)
• T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
• T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
• T1021.006 — Remote Services: Windows Remote Management (Lateral Movement)
• T1072 — Software Deployment Tools (Lateral Movement)
• T1482 — Domain Trust Discovery (Discovery)
• T1069.002 — Permission Groups Discovery: Domain Groups (Discovery)
• T1087.002 — Account Discovery: Domain Account (Discovery)
• T1046 — Network Service Discovery (Discovery)
• T1082 — System Information Discovery (Discovery)
• T1518.001 — Software Discovery: Security Software Discovery (Discovery)
• T1048 — Exfiltration Over Alternative Protocol (Exfiltration)
• T1567.002 — Exfiltration Over Web Service: Exfiltration to Cloud Storage (Exfiltration)
• T1486 — Data Encrypted for Impact (Impact)
• T1490 — Inhibit System Recovery (Impact)
• T1484.001 — Domain Policy Modification: Group Policy Modification (Defense Evasion)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
• T1078 — Valid Accounts (Defense Evasion)
• T1053.005 — Scheduled Task/Job: Scheduled Task (Execution)

IOC

• Domaines : 1rpc.io — VT · URLhaus · ThreatFox
• Domaines : witch-skins-lip-coal.trycloudflare.com — VT · URLhaus · ThreatFox
• Domaines : fields-pct-easier-vancouver.trycloudflare.com — VT · URLhaus · ThreatFox
• Domaines : howto-tar-naturals-coordination.trycloudflare.com — VT · URLhaus · ThreatFox
• Domaines : workshop-lighting-protective-customs.trycloudflare.com — VT · URLhaus · ThreatFox
• Domaines : afford-effect-construct-tricks.trycloudflare.com — VT · URLhaus · ThreatFox
• Domaines : rapids-lil-lending-charleston.trycloudflare.com — VT · URLhaus · ThreatFox
• Domaines : when-architectural-cdna-faster.trycloudflare.com — VT · URLhaus · ThreatFox
• Domaines : mode-exit-legendary-trusted.trycloudflare.com — VT · URLhaus · ThreatFox
• Domaines : seasonal-estimation-heating-necessarily.trycloudflare.com — VT · URLhaus · ThreatFox
• Domaines : entered-medications-motherboard-advanced.trycloudflare.com — VT · URLhaus · ThreatFox
• Domaines : walt-messaging-affairs-occurring.trycloudflare.com — VT · URLhaus · ThreatFox
• Domaines : vefbdzzuaadnascpeqcn.supabase.co — VT · URLhaus · ThreatFox
• Domaines : k135neflez.westus3.azure.clickhouse.cloud — VT · URLhaus · ThreatFox
• Domaines : borjumaniya.store — VT · URLhaus · ThreatFox
• Domaines : vngz3ntdrb.us-east1.gcp.clickhouse.cloud — VT · URLhaus · ThreatFox
• Domaines : muurfzqprzmdkzoibxaz.supabase.co — VT · URLhaus · ThreatFox
• Domaines : ep-lively-cherry-a80bmwii.eastus2.azure.neon.tech — VT · URLhaus · ThreatFox
• Domaines : goldsky.arweave.net — VT · URLhaus · ThreatFox
• Domaines : arweave.net — VT · URLhaus · ThreatFox
• Domaines : g8way.io — VT · URLhaus · ThreatFox
• URLs : https://witch-skins-lip-coal.trycloudflare.com — URLhaus
• URLs : https://fields-pct-easier-vancouver.trycloudflare.com — URLhaus
• URLs : https://howto-tar-naturals-coordination.trycloudflare.com — URLhaus
• URLs : https://workshop-lighting-protective-customs.trycloudflare.com — URLhaus
• URLs : https://afford-effect-construct-tricks.trycloudflare.com — URLhaus
• URLs : https://rapids-lil-lending-charleston.trycloudflare.com — URLhaus
• URLs : https://when-architectural-cdna-faster.trycloudflare.com — URLhaus
• URLs : https://mode-exit-legendary-trusted.trycloudflare.com — URLhaus
• URLs : https://seasonal-estimation-heating-necessarily.trycloudflare.com — URLhaus
• URLs : https://entered-medications-motherboard-advanced.trycloudflare.com — URLhaus
• URLs : https://walt-messaging-affairs-occurring.trycloudflare.com — URLhaus
• SHA256 : d9487fdc097f770e5661f9e5dee130068cb179d33716abff1a21c8cb901f25a6 — VT · MalwareBazaar
• SHA256 : 8c2665adf8bfab65463f2a9bd1b7bb0231de3f5c1e6a2e51479e44aaac2e7bf0 — VT · MalwareBazaar
• SHA256 : 4142d5efd4ea2abab77f2f0a917610e2ff976bf9e19d7ad1e9156eccdc5412db — VT · MalwareBazaar
• SHA256 : 2d4b4bb18b8445e49eeda571982874403befcecf78266e3d405f6529d98bee46 — VT · MalwareBazaar
• SHA256 : 19021e53b9929fdf4b7d0e0707434d56bb73c1a9b7403c8837b44d1c417198dc — VT · MalwareBazaar
• SHA256 : 1795eacd2c58894ccdd6be8854fe6456c3b069a3a873432343b57b475b256aee — VT · MalwareBazaar
• SHA1 : 3d5ee8429ef00824c0351cba507dfeb92b54f83b — VT · MalwareBazaar
• SHA1 : c98ee41f09ae079a5643626f57eb84f9220 5bb2b — [VT](https://www.virustotal.com/gui/search/c98ee41f09ae079a5643626f57eb84f9220 5bb2b) · [MalwareBazaar](https://bazaar.abuse.ch/browse.php?search=sha1%3Ac98ee41f09ae079a5643626f57eb84f9220 5bb2b)
• SHA1 : b44c8084b88d31113ee51758740eb84c251bdae8 — VT · MalwareBazaar
• SHA1 : 114ec028a3fc4ed50056ee8166b0c39acff6ff03 — VT · MalwareBazaar
• SHA1 : ba80d7b038758a129861e1e498e462cc3d68ae20 — VT · MalwareBazaar
• SHA1 : aa9218994798ae31a19d3e7e39cfac2e2ee55840 — VT · MalwareBazaar
• MD5 : 73ce2438d4ed475e03727b7b000d2794 — VT · MalwareBazaar
• MD5 : b2d51212744f404714fd909e87254d98 — VT · MalwareBazaar
• MD5 : c92cf9a1af5b1fe25cdcb8771ce52be4 — VT · MalwareBazaar
• MD5 : 77fbe265fd65c7f7b6d323fb6de6a4fd — VT · MalwareBazaar
• MD5 : f985b8d6d635c266fc4779dad77aa75c — VT · MalwareBazaar
• MD5 : b188fbc6ff5557767e73e4c883a553a3 — VT · MalwareBazaar
• CVEs : CVE-2025-55182 — NVD · CIRCL
• Fichiers : RAMMap.msi
• Fichiers : MVnVmUYj.cmd
• Fichiers : A7Pnj975bl.cfg
• Fichiers : v72HYLU3OpRBznc.ini
• Fichiers : log4net.dll
• Fichiers : smokymo.msi
• Fichiers : netscan.exe
• Fichiers : Greenshot.exe
• Fichiers : SyncTrayzor.exe
• Fichiers : docfx.exe
• Fichiers : Cake.exe
• Chemins : C:\Users\REDACTED\AppData\Local\P2RsupmqXnmx\gksVMg\node.exe
• Chemins : C:\Users\REDACTED\AppData\Local\P2RsupmqXnmx\A7Pnj975bl.cfg
• Chemins : C:\Program Files (x86)\GoTo Resolve Unattended\REDACTED\GoToResolveProcessChecker.exe
• Chemins : C:\temp\netscan.exe
• Chemins : C:\Users\REDACTED\Downloads\rclone-v1.73.5-windows-amd64\rclone-v1.73.5-windows-amd64\rclone.exe

Malware / Outils

• EtherRAT (rat)
• TukTuk (framework)
• The Gentleman (ransomware)
• Mimikatz (tool)
• NetExec (nxc) (tool)
• Rclone (tool)
• GoTo Resolve (tool)
• SoftPerfect Network Scanner (tool)

🟢 Indice de vérification factuelle : 90/100 (haute)

• ✅ thedfirreport.com — source reconnue (Rösti community) (20pts)
• ✅ 15941 chars — texte complet (fulltext extrait) (15pts)
• ✅ 67 IOCs dont des hashes (15pts)
• ✅ 3/9 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 30 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ 0/1 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

• d9487fdc097f770e… (sha256) → VT (14/76 détections)
• 4142d5efd4ea2aba… (sha256) → VT (5/76 détections)
• witch-skins-lip-coal.trycloudflare.com (domain) → VT (4/92 détections)

🔗 Source originale : https://thedfirreport.com/2026/05/11/flash-alert-etherrat-and-tuktuk-c2-end-in-the-gentleman-ransomware/