📅 Source : Unit 42 (Palo Alto Networks), publié le 15 mai 2026. Analyse technique d’une nouvelle variante du malware Gremlin Stealer, un infostealer vendu sur des forums clandestins.

🧩 Contexte

Gremlin Stealer est un infostealer ciblant les navigateurs web, le presse-papiers, les portefeuilles de cryptomonnaies, les identifiants FTP/VPN, les cookies de session et les tokens Discord. La nouvelle variante identifiée exfiltre les données vers un nouveau panneau web à l’adresse http://194.87.92.109.

🔬 Techniques d’obfuscation et d’anti-analyse

La variante analysée (SHA256 : 2172dae9a5a695e00e0e4609e7db0207d8566d225f7e815fada246ae995c0f9b) est protégée par un utilitaire de packing commercial utilisant la virtualisation d’instructions (transformation du code en bytecode non-standard exécuté par une VM privée). Trois techniques principales sont documentées :

  • Renommage d’identifiants : classes, méthodes et variables remplacées par des noms sans signification (ex. a, b, hf)
  • Chiffrement de chaînes : toutes les chaînes sensibles sont chiffrées et décodées à l’exécution via la fonction _003CModule_003E.c(int, int, int) qui lit un fichier de ressources embarqué
  • Obfuscation du flux de contrôle : instructions if-else, goto et opérations mathématiques inutiles pour perturber l’analyse statique et dynamique

📦 Payload caché dans les ressources .NET

Le payload malveillant est dissimulé dans la section .NET Resource, encodé par XOR à un seul octet. Le déchiffrement révèle les URLs C2 et les chemins d’exfiltration en clair. Les clés XOR identifiées sont 20, 31 et 49.

🆕 Nouvelles fonctionnalités de la variante

  • Module d’extraction de tokens Discord : scan de multiples chemins avec validation regex
  • Crypto clipper : surveillance continue du presse-papiers, remplacement en temps réel des adresses de portefeuilles crypto par celles de l’attaquant
  • Hijacking de sessions WebSocket : module permettant de détourner des sessions navigateur actives et de contourner les protections modernes sur les cookies
  • Ciblage Chromium : extraction de données directement depuis les processus en mémoire plutôt que depuis les fichiers de base de données statiques

📤 Exfiltration

Les données volées sont compressées dans une archive ZIP nommée d’après l’adresse IP publique de la victime, puis uploadées vers le panneau attaquant. Le panneau affiche des statistiques (11 appareils en ligne, 0,83 MB de données) avec une interface en russe.

🔗 Similarités avec d’autres familles

Gremlin Stealer utilise la section de ressources pour l’obfuscation, une tactique partagée avec Agent Tesla, GuLoader, LokiBot et Quasar RAT.

📄 Type d’article : Analyse technique approfondie publiée par Unit 42. But principal : documenter l’évolution des techniques d’obfuscation et des capacités de Gremlin Stealer pour permettre la détection et la réponse à incident.

🧠 TTPs et IOCs détectés

TTP

  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1027.009 — Embedded Payloads (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1115 — Clipboard Data (Collection)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1560.002 — Archive via Library (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1496 — Resource Hijacking (Impact)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1185 — Browser Session Hijacking (Collection)

IOC

  • IPv4 : 194.87.92.109AbuseIPDB · VT · ThreatFox
  • URLs : http://194.87.92.109/i.phpURLhaus
  • URLs : http://api.ipify.org/?format=jsonURLhaus
  • SHA256 : 2172dae9a5a695e00e0e4609e7db0207d8566d225f7e815fada246ae995c0f9bVT · MalwareBazaar
  • SHA256 : 9aab30a3190301016c79f8a7f8edf45ec088ceecad39926cfcf3418145f3d614VT · MalwareBazaar
  • SHA256 : 971198ff86aeb42739ba9381923d0bc6f847a91553ec57ea6bae5becf80f8759VT · MalwareBazaar
  • SHA256 : ab0fa760bd037a95c4dee431e649e0db860f7cdad6428895b9a399b6991bf3cdVT · MalwareBazaar
  • SHA256 : f76ba1a4650d8cafb6d3ff071688c5db6fd37e165050f03cece693826f51d346VT · MalwareBazaar
  • SHA256 : a9f529a5cbc1f3ee80f785b22e0c472953e6cb226952218aecc7ab07ca328abdVT · MalwareBazaar
  • SHA256 : 691896c7be87e47f3e9ae914d76caaf026aaad0a1034e9f396c2354245215dc3VT · MalwareBazaar
  • SHA256 : 281b970f281dbea3c0e8cfc68b2e9939b253e5d3de52265b454d8f0f578768a2VT · MalwareBazaar
  • SHA256 : 9fda1ddb1acf8dd3685ec31b0b07110855832e3bed28a0f3b81c57fe7fe3ac20VT · MalwareBazaar
  • SHA256 : d11938f14499de03d6a02b5e158782afd903460576e9227e0a15d960a2e9c02cVT · MalwareBazaar
  • SHA256 : 1bd0a200528c82c6488b4f48dd6dbc818d48782a2e25ccd22781c5718c3f62f5VT · MalwareBazaar
  • Fichiers : 217.exe

Malware / Outils

  • Gremlin Stealer (stealer)
  • Agent Tesla (stealer)
  • GuLoader (loader)
  • LokiBot (stealer)
  • Quasar RAT (rat)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ unit42.paloaltonetworks.com — source reconnue (liste interne) (20pts)
  • ✅ 14499 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 15 IOCs dont des hashes (15pts)
  • ✅ 3/6 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 12 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 2172dae9a5a695e0… (sha256) → VT (45/77 détections)
  • 9aab30a319030101… (sha256) → VT (55/77 détections)
  • 971198ff86aeb427… (sha256) → VT (42/77 détections)

🔗 Source originale : https://unit42.paloaltonetworks.com/gremlin-stealer-evolution/