🔍 Contexte

Publié le 29 avril 2026 par Darktrace (blog Inside the SOC), cet article présente l’analyse technique d’une campagne observée le 18 mars 2026 sur le réseau de honeypots “CloudyPots” de Darktrace. Un acteur malveillant a exploité une instance Jenkins intentionnellement mal configurée pour déployer un botnet DDoS ciblant les serveurs de jeux vidéo.

🎯 Vecteur d’accès initial

L’attaquant a abusé de l’endpoint scriptText de Jenkins, qui permet l’exécution de scripts Groovy via la JVM. L’instance honeypot était configurée avec un mot de passe faible, permettant une exécution de code à distance (RCE). Le script malveillant a été envoyé en form-data (URL-encodé) et décodé via CyberChef par les analystes.

💻 Comportement du malware

Sur Windows :

  • Téléchargement du payload depuis 103.177.110.202/w.exe → sauvegardé en C:\Windows\Temp\update.dat
  • Renommage en win_sys.exe
  • Suppression des restrictions via Unblock-File
  • Ajout d’une règle firewall pour le port TCP 5444 (C2)

Sur Linux :

  • Téléchargement de 103.177.110.202/bot_x64.exe vers /tmp/bot et exécution immédiate
  • Variables BUILD_ID et JENKINS_NODE_COOKIE définies à dontKillMe pour contourner le timeout Jenkins
  • Suppression de l’exécutable original du disque
  • Renommage en processus légitimes (ksoftirqd/0 ou kworker)
  • Double fork pour daemonisation
  • Redirection vers /dev/null (stdin/stdout/stderr)
  • Gestionnaire de signaux ignorant SIGTERM

📡 Communication C2 et commandes d’attaque

L’IP 103.177.110.202 (Webico Company Limited / Tino, Ho Chi Minh City, Vietnam) est utilisée pour la distribution des payloads ET le C2, ce qui est inhabituel. Les commandes incluent :

  • PING/PONG (keep-alive), !stop, !update (mise à jour automatique)
  • Attaques UDP : attack_udp (paquets 1450 bytes), attack_udp_pps (paquets 64 bytes)
  • Attaque TCP : attack_tcp_push (1024 bytes, TCP no-delay)
  • Attaque HTTP : 64 requêtes GET en rafale
  • attack_dayz : envoi de TSource Engine Query (Valve Source Engine, port 27015)
  • attack_special : DNS (port 53), Valve Source Engine (port 27015), NTP (port 123)
  • Commandes cfbypass, uam (Cloudflare bypass) — fonctionnellement identiques à HTTP

🎮 Ciblage spécifique des jeux vidéo

La présence de la TSource Engine Query (Valve Source Engine, utilisé par Counter-Strike, Team Fortress 2) et de techniques spécifiques aux serveurs de jeux confirme le ciblage de l’industrie du jeu vidéo, classée 4e industrie la plus ciblée par les DDoS selon Cloudflare.

📄 Type d’article

Il s’agit d’une analyse technique publiée par l’équipe de recherche en menaces de Darktrace, visant à documenter un nouveau botnet DDoS émergent et à partager les IoCs associés.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript/JScript (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1562.004 — Impair Defenses: Disable or Modify System Firewall (Defense Evasion)
  • T1543 — Create or Modify System Process (Persistence)
  • T1498 — Network Denial of Service (Impact)
  • T1499 — Endpoint Denial of Service (Impact)

IOC

  • IPv4 : 103.177.110.202AbuseIPDB · VT · ThreatFox
  • URLs : http://103.177.110.202/w.exeURLhaus
  • URLs : http://103.177.110.202/bot_x64.exeURLhaus
  • SHA256 : f79d05065a2ba7937b8781e69b5859d78d5f65f01fb291ae27d28277a5e37f9bVT · MalwareBazaar
  • Fichiers : w.exe
  • Fichiers : bot_x64.exe
  • Fichiers : update.dat
  • Fichiers : win_sys.exe
  • Chemins : C:\Windows\Temp\update.dat
  • Chemins : C:\Windows\Temp\win_sys.exe
  • Chemins : /tmp/bot

Malware / Outils

  • bot_x64 (botnet)

🟢 Indice de vérification factuelle : 87/100 (haute)

  • ✅ darktrace.com — source reconnue (Rösti community) (20pts)
  • ✅ 14279 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 11 IOCs dont des hashes (15pts)
  • ✅ 2/4 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 103.177.110.202 (ip) → AbuseIPDB (65% confiance, 331 signalements) + VT (21/92 détections)
  • f79d05065a2ba793… (sha256) → VT (28/76 détections)

🔗 Source originale : https://www.darktrace.com/blog/darktrace-malware-analysis-jenkins-honeypot-reveals-emerging-botnet-targeting-online-games