🔍 Contexte

Publié le 14 avril 2026 par Elastic Security Labs (auteurs : Salim Bitam, Samir Bousseaden, Daniel Stepanic), cet article détaille la campagne REF6598, une opération d’ingénierie sociale sophistiquée ciblant des individus dans les secteurs financier et des cryptomonnaies.

🎯 Vecteur d’accès initial

Les attaquants se font passer pour une société de capital-risque et contactent leurs cibles via LinkedIn, puis migrent la conversation vers Telegram. Ils invitent la victime à utiliser Obsidian comme base de données partagée, en lui fournissant des identifiants pour se connecter à un vault cloud contrôlé par l’attaquant.

Une fois connectée, la victime est incitée à activer la synchronisation des plugins communautaires. Le vault malveillant contient deux plugins trojanisés :

  • Shell Commands : exécute des commandes shell arbitraires au démarrage du vault
  • Hider : masque l’interface utilisateur pour dissimuler l’activité malveillante

🪟 Chaîne d’exécution Windows

Stage 1 : Le plugin Shell Commands exécute deux appels Invoke-Expression avec des chaînes Base64 qui téléchargent un script PowerShell (script1.ps1) depuis 195.3.222.251.

Stage 2 : Le script utilise BitsTransfer pour télécharger syncobs.exe (le loader PHANTOMPULL) et envoie des statuts d’avancement au C2 via /stuk-phase.

Loader PHANTOMPULL :

  • PE 64 bits extrayant un payload chiffré AES-256-CBC depuis ses propres ressources
  • Clé AES hardcodée : 6a85736b64761a8b2aaeadc1c0087e1897d16cc5a9d49c6a6ea1164233bad206
  • IV hardcodé : A6FA4ADFC20E8E6B77E2DD631DC8FF18
  • Résolution d’API dynamique via hashing djb2 (seed 0x4E67C6A7)
  • Exécution via timer queue callback (délai 50ms) pour évasion sandbox
  • Chargement réflectif en mémoire (jamais écrit sur disque)
  • Télécharge PHANTOMPULSE depuis panel.fefea22134.net via HTTPS (/v1/updates/check?build=payloads)
  • Mutex généré par XOR : hVNBUORXNiFLhYYh
  • Backoff exponentiel sur échec (5s × 1.5, max ~5 min)

🦠 RAT PHANTOMPULSE

PHANTOMPULSE est un RAT Windows 64 bits inédit, fortement assisté par IA (debug strings auto-documentées, numérotation des étapes).

Résolution C2 via blockchain :

  • Interroge trois instances Blockscout (Ethereum L1, Base L2, Optimism L2)
  • Wallet hardcodé (XOR-chiffré) : 0xc117688c530b660e15085bF3A2B664117d8672aA
  • Extrait l’URL C2 depuis le champ input data de la dernière transaction, déchiffré par XOR avec l’adresse du wallet
  • Faiblesse identifiée : absence de vérification de l’expéditeur → possibilité de hijack du C2 par un tiers

Endpoints C2 :

  • /v1/telemetry/report (heartbeat)
  • /v1/telemetry/tasks/<id> (fetch commandes)
  • /v1/telemetry/upload/ (screenshots/fichiers)
  • /v1/telemetry/result (résultats)
  • /v1/telemetry/keylog/ (keylogging)

Commandes supportées : inject, drop, screenshot, keylog, uninstall, elevate, downgrade, self-termination

Injection : module stomping, injection de shellcode/DLL/EXE

🍎 Chaîne d’exécution macOS

  • Stage 1 : AppleScript via osascript (Base64), crée un LaunchAgent persistant (com.vfrfeufhtjpwgray.plist)
  • Stage 2 : Dropper AppleScript obfusqué avec construction de chaînes à l’exécution
  • C2 primaire : 0x666.info
  • Fallback C2 : scraping du canal Telegram t.me/ax03bot
  • Payload exécuté via curl | osascript avec paramètres txid et bmodule

🏗️ Infrastructure

Élément Détail
Serveur de staging 195.3.222.251 (AS201814, MEVSPACE, Pologne)
C2 panel panel.fefea22134.net (derrière Cloudflare)
C2 précédent thoroughly-publisher-troy-clara.trycloudflare.com
Wallet de financement 0x38796B8479fDAE0A72e5E7e326c87a637D0Cbc0E
Infrastructure provisionnée 19 février 2026

Le certificat Let’s Encrypt de fefea22134.net (émis le 19 fév. 2026) coïncide avec la transaction blockchain encodant ce C2.

📋 Type d’article

Il s’agit d’une publication de recherche technique d’Elastic Security Labs visant à documenter exhaustivement la campagne REF6598, fournir des IOCs, des règles YARA et des requêtes de chasse pour permettre la détection et la réponse à incident.

🧠 TTPs et IOCs détectés

TTP

  • T1566.003 — Phishing: Spearphishing via Service (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.002 — Command and Scripting Interpreter: AppleScript (Execution)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1497.003 — Virtualization/Sandbox Evasion: Time Based Evasion (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1547.011 — Boot or Logon Autostart Execution: Plist Modification (Persistence)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1113 — Screen Capture (Collection)
  • T1082 — System Information Discovery (Discovery)
  • T1548.002 — Abuse Elevation Control Mechanism: Bypass UAC (Privilege Escalation)
  • T1102 — Web Service (Command and Control)
  • T1568 — Dynamic Resolution (Command and Control)

IOC

  • IPv4 : 195.3.222.251AbuseIPDB · VT · ThreatFox
  • Domaines : panel.fefea22134.netVT · URLhaus · ThreatFox
  • Domaines : 0x666.infoVT · URLhaus · ThreatFox
  • Domaines : thoroughly-publisher-troy-clara.trycloudflare.comVT · URLhaus · ThreatFox
  • URLs : http://195.3.222.251/script1.ps1URLhaus
  • URLs : http://195.3.222.251/syncobs.exeURLhaus
  • URLs : http://195.3.222.251/stuk-phaseURLhaus
  • URLs : https://panel.fefea22134.net/v1/updates/check?build=payloadsURLhaus
  • URLs : https://t.me/ax03botURLhaus
  • SHA256 : 70bbb38b70fd836d66e8166ec27be9aa8535b3876596fc80c45e3de4ce327980VT · MalwareBazaar
  • SHA256 : 33dacf9f854f636216e5062ca252df8e5bed652efd78b86512f5b868b11ee70fVT · MalwareBazaar
  • Fichiers : syncobs.exe
  • Fichiers : script1.ps1
  • Fichiers : tt.ps1
  • Chemins : C:\Users\user\Documents\<redacted_vault_name>\.obsidian\plugins\obsidian-shellcommands\data.json
  • Chemins : ~/Library/LaunchAgents/com.vfrfeufhtjpwgray.plist

Malware / Outils

  • PHANTOMPULSE (rat)
  • PHANTOMPULL (loader)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ elastic.co — source reconnue (liste interne) (20pts)
  • ✅ 33523 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 16 IOCs dont des hashes (15pts)
  • ✅ 6/9 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 16 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 195.3.222.251 (ip) → VT (13/92 détections)
  • 70bbb38b70fd836d… (sha256) → VT (50/76 détections)
  • 33dacf9f854f6362… (sha256) → VT (45/75 détections)
  • panel.fefea22134.net (domain) → VT (20/92 détections)
  • 0x666.info (domain) → VT (21/92 détections) + ThreatFox (Phantom Stealer)

🔗 Source originale : https://www.elastic.co/security-labs/phantom-in-the-vault