🌐 Contexte

Darktrace a publié le 14 mai 2026 une analyse technique détaillée d’une campagne d’intrusion attribuée avec confiance modérée à Twill Typhoon, un acteur de menace à nexus chinois. La campagne cible principalement des environnements clients dans la région Asie-Pacifique & Japon (APJ), avec une activité observée depuis fin septembre 2025 jusqu’en avril 2026.

🎯 Vecteurs et méthodes d’attaque

La chaîne d’infection repose sur plusieurs techniques combinées :

  • Usurpation de CDN : les hôtes compromis émettent des requêtes HTTP GET vers des domaines imitant Yahoo et Apple (ex: yahoo-cdn.it.com)
  • DLL sideloading : un binaire légitime (ex: biz_render.exe de Sogou Pinyin IME) charge une DLL malveillante (browser_host.dll) portant le même nom que la DLL légitime attendue
  • AppDomain hijacking via ClickOnce : dfsvc.exe (moteur ClickOnce Windows) est utilisé avec un fichier .config malveillant pour forcer le chargement de dnscfg.dll
  • Exécution en mémoire : le loader utilise le CLR Windows pour exécuter des assemblies .NET directement en mémoire

🔧 Payload principal : FDMTP v3.2.5

Le payload central est dnscfg.dll (alias Client.TcpDmtp.dll), identifié comme une version mise à jour (3.2.5) du backdoor FDMTP. Il s’agit d’un RAT .NET modulaire fortement obfusqué qui :

  • Communique via DMTP (Duplex Message Transport Protocol) sur TCP personnalisé
  • Effectue une résolution C2 par cluster via /GetCluster?protocol=DotNet-TcpDmtp
  • Implémente une validation par token (Verify_Token: Dmtp)
  • Entre dans une boucle persistante (LoopMessage) pour recevoir des commandes
  • Utilise un chiffrement XOR personnalisé pour les chaînes et AES pour les payloads

🧩 Architecture modulaire

Le framework embarque plusieurs bibliothèques compressées et plugins :

  • client.core.dll : profilage système, communication C2, exécution de plugins
  • client.dmtpframe.dll : gestion DMTP, heartbeats, reconnexion, persistance via registre (HKCU\Software\Microsoft\IME\{id})
  • Persist.WpTask.dll : gestion de tâches planifiées Windows à distance
  • Persist.registry.dll : persistance registre avec clés cachées
  • Persist.extra.dll : chargement et persistance du framework principal via COM object
  • Assist.dll : récupération de fichiers/commandes, manipulation de processus

🔄 Mécanisme de mise à jour

Le binaire WindowsBase.dll contacte icloud-cdn.net toutes les 5 minutes, récupère un fichier checksum.bin, le déchiffre avec AES (clé hardcodée POt_L[Bsh0=+@0a.) et charge l’assembly en mémoire, permettant une mise à jour dynamique du framework.

🏦 Cas notable (avril 2026)

Un endpoint du secteur financier a initié des requêtes GET vers yahoo-cdn.it.com sur une fenêtre de 11 jours, récupérant vshost.exe, dfsvc.exe, dfsvc.exe.config et dnscfg.dll.

📋 Type d’article

Il s’agit d’une analyse technique approfondie publiée par Darktrace, visant à documenter la chaîne d’infection complète, les IoCs et les techniques MITRE ATT&CK associées à cette campagne pour permettre la détection comportementale.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1106 — Native API (Execution)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1546.016 — Component Object Model Hijacking (Privilege Escalation)
  • T1547.001 — Registry Run Keys / Startup Folder (Persistence)
  • T1574.001 — Hijack Execution Flow: DLL Search Order Hijacking (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1027.007 — Obfuscated Files or Information: Dynamic API Resolution (Defense Evasion)
  • T1622 — Debugger Evasion (Defense Evasion)
  • T1082 — System Information Discovery (Discovery)
  • T1007 — System Service Discovery (Discovery)
  • T1033 — System Owner/User Discovery (Discovery)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1095 — Non-Application Layer Protocol (Command and Control)

IOC

  • IPv4 : 154.223.58.142AbuseIPDB · VT · ThreatFox
  • Domaines : icloud-cdn.netVT · URLhaus · ThreatFox
  • Domaines : yahoo-cdn.it.comVT · URLhaus · ThreatFox
  • MD5 : fc3959ebd35286a82c662dc81ca658cbVT · MalwareBazaar
  • MD5 : b2c8f1402d336963478f4c5bc36c961aVT · MalwareBazaar
  • MD5 : c52b4a16d93a44376f0407f1c06e0bVT · MalwareBazaar
  • MD5 : c17f39d25def01d5c87615388925f45aVT · MalwareBazaar
  • MD5 : 482cc72e01dfa54f30efe4fefde5422dVT · MalwareBazaar
  • MD5 : 162F69FE29EB7DE12B684E979A446131VT · MalwareBazaar
  • MD5 : 067FBAD4D6905D6E13FDC19964C1EA52VT · MalwareBazaar
  • MD5 : 2CD781AB63A00CE5302ED844CFBECC27VT · MalwareBazaar
  • MD5 : DF3437C88866C060B00468055E6FA146VT · MalwareBazaar
  • MD5 : c650a624455c5222906b60aac7e57d48VT · MalwareBazaar
  • Fichiers : test.zip
  • Fichiers : biz_render.exe
  • Fichiers : browser_host.dll
  • Fichiers : dnscfg.dll
  • Fichiers : Client.TcpDmtp.dll
  • Fichiers : dfsvc.exe
  • Fichiers : dfsvc.exe.config
  • Fichiers : vshost.exe
  • Fichiers : Microsoft.VisualStudio.HostingProcess.Utilities.Sync.dll
  • Fichiers : config.etl
  • Fichiers : client.core.dll
  • Fichiers : client.dmtpframe.dll
  • Fichiers : Persist.WpTask.dll
  • Fichiers : Persist.registry.dll
  • Fichiers : Persist.extra.dll
  • Fichiers : Assist.dll
  • Fichiers : WindowsBase.dll
  • Fichiers : checksum.bin
  • Fichiers : checksum.etl
  • Fichiers : Client.dll
  • Fichiers : setup.log
  • Chemins : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\dfsvc.exe.config
  • Chemins : C:\ProgramData\USOShared\Logs\checksum.etl
  • Chemins : %APPDATA%\Local\Microsoft\WindowsApps\dfsvc.exe

Malware / Outils

  • FDMTP (backdoor)
  • Client.TcpDmtp.dll (rat)
  • browser_host.dll (loader)
  • dnscfg.dll (backdoor)
  • Persist.WpTask.dll (tool)
  • Persist.registry.dll (tool)
  • Persist.extra.dll (tool)
  • Assist.dll (tool)

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ darktrace.com — source reconnue (Rösti community) (20pts)
  • ✅ 18309 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 37 IOCs dont des hashes (15pts)
  • ✅ 3/3 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 14 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Twill Typhoon (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 154.223.58.142 (ip) → VT (4/92 détections)
  • icloud-cdn.net (domain) → VT (16/92 détections)
  • yahoo-cdn.it.com (domain) → VT (15/92 détections)

🔗 Source originale : https://www.darktrace.com/blog/chinese-apt-campaign-targets-entities-with-updated-fdmtp-backdoor