🗓️ Contexte

Analyse publiée le 12 mai 2026 par SecurityWeek, basée sur un rapport technique d’Aryaka Threat Research Labs. L’article décrit en détail la campagne malveillante CRPx0, ciblant les systèmes Windows et macOS, avec des capacités Linux en cours de développement.

🎣 Vecteur d’infection initial

La campagne repose sur un leurre d’ingénierie sociale : l’offre d’un accès gratuit à OnlyFans. Les victimes téléchargent une archive OnlyfansAccounts.zip contenant :

  • Un fichier raccourci LNK (Onlyfans Accounts.lnk)
  • Un fichier texte apparent (Accounts.txt) affichant de faux identifiants (« 50 working Onlyfans account »)

En arrière-plan, le malware s’installe, établit la persistance et contacte son C2 pour collecter des données d’environnement. Il vérifie périodiquement l’existence de mises à jour et s’auto-met à jour.

💀 Capacités et phases d’attaque

La campagne se déroule en trois phases principales :

  1. Vol de cryptomonnaies : surveillance continue du presse-papiers système. Si une adresse de portefeuille est copiée, elle est remplacée par une adresse contrôlée par les attaquants (clipboard hijacking).
  2. Exfiltration de données : sélection des fichiers cibles via le C2 (documents, médias, images, emails, fichiers de code, fichiers d’ingénierie). Constitue la première phase d’une double extorsion.
  3. Ransomware : sur réception de la commande « encryption » depuis le C2, le payload crypter.py est téléchargé depuis un serveur distant et exécuté via l’interpréteur Python système. Une clé unique est générée via le mécanisme Fernet (AES) et envoyée au C2. Les fichiers chiffrés reçoivent l’extension .crpx0. Le fond d’écran est remplacé et des notes de rançon sont déposées en anglais, russe et chinois. Les victimes sont invitées à contacter les attaquants via email, qTox et Telegram.

📊 Impact et données de la campagne

  • 38 victimes revendiquées sur le site de fuite des attaquants
  • 23 fuites disponibles publiquement
  • 10 839 téraoctets de données prétendument volées
  • Les données volées sont proposées à la vente pour 500 $ en cryptomonnaie (accès à vie à toutes les fuites)
  • Les 15 victimes restantes ont soit payé la rançon, soit leur délai n’a pas encore expiré

🔍 Caractéristiques techniques notables

  • Architecture modulaire et adaptable
  • Capacités : vol de cryptomonnaies, collecte de phrases de récupération de portefeuilles (seed phrase harvesting), déploiement de payloads additionnels, chiffrement ransomware complet
  • Mapping MITRE ATT&CK fourni par Aryaka
  • Liste d’IoCs disponible dans le rapport original
  • Aucun ciblage sectoriel apparent : toute personne cherchant un accès gratuit à OnlyFans est une cible potentielle

📰 Nature de l’article

Article de presse spécialisée à visée informationnelle, synthétisant le rapport technique d’Aryaka Threat Research Labs sur la campagne CRPx0, destiné aux professionnels de la cybersécurité.

🧠 TTPs et IOCs détectés

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1547 — Boot or Logon Autostart Execution (Persistence)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1115 — Clipboard Data (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1020 — Automated Exfiltration (Exfiltration)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1491.001 — Defacement: Internal Defacement (Impact)

IOC

  • Fichiers : OnlyfansAccounts.zip
  • Fichiers : Onlyfans Accounts.lnk
  • Fichiers : Accounts.txt
  • Fichiers : crypter.py

Malware / Outils

  • CRPx0 (other)

🟢 Indice de vérification factuelle : 70/100 (haute)

  • ✅ securityweek.com — source reconnue (liste interne) (20pts)
  • ✅ 10595 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 12 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.securityweek.com/free-onlyfans-lure-used-to-spread-cross-platform-crpx0-malware/