🔍 Contexte
Publié le 14 mai 2026 par Sublime Threat Intelligence and Research (STIR), cet article documente une campagne de phishing détectée en avril 2026 combinant deux outils distincts : KrakVM (machine virtuelle JavaScript open-source) et FlowerStorm (kit PhaaS actif depuis mi-2024).
🎯 Campagne et ciblage
La campagne, dont l’activité remonte à mi-mars 2026, a ciblé plusieurs secteurs :
- Gouvernement local
- Logistique
- Commerce de détail
- Communications
- Immobilier
Les emails de phishing sont courts, parfois sans corps de message, avec des sujets ou noms de pièces jointes HTML imitant des notifications de messagerie vocale, crédits fournisseurs ou factures impayées. Les noms de domaine malveillants utilisent des combinaisons de mots anglais imitant des entreprises légitimes, une caractéristique déjà documentée pour FlowerStorm.
⚙️ Analyse technique : KrakVM
KrakVM est un outil open-source publié sur GitHub qui compile du JavaScript en bytecode chiffré exécuté par une machine virtuelle embarquée. Caractéristiques techniques :
- Bytecode chiffré octet par octet via XOR avec clé initiale
0x5Fet rotation de clé - Alphabet Base64 personnalisé (
XK362qWsj+kTd8OLeHn9ARmovVuxCF/DZyYwJ45fzBIt7GabrhSNicp1EgMQl0UP) - Générateur congruentiel linéaire (LCG) pour le déchiffrement des chaînes
- Fonction
_0x52cb()pour le déchiffrement de chaque chaîne individuellement - Le bytecode décode et exécute via
document.write()un payload Base64 contenant le kit FlowerStorm
KrakVM a été adopté par les opérateurs FlowerStorm moins d’un mois après sa publication publique, avec une configuration proche des paramètres par défaut.
🪝 Payload FlowerStorm
Le payload final est un fichier bootstrap.min.js (1 092 847 octets) hébergé sur un bucket Tencent Cloud COS (myqcloud[.]com). Ce script JavaScript hautement obfusqué :
- Imite les pages de connexion Microsoft 365, Hotmail et GoDaddy
- Supporte l’interception AITM (Adversary-in-the-Middle) des codes MFA
- Communique avec un C2 via HTTP POST (
do=user-check,do=check&email=,do=login) - Pré-remplit l’email de la victime depuis la pièce jointe (variable
therapeutic) - Gère plusieurs méthodes MFA : Microsoft Authenticator (push/TOTP), SMS OTP
Le C2 répond avec le type de provider à cibler et peut fournir des images de marque personnalisées pour les organisations ciblées.
📊 Évaluation
STIR évalue avec confiance modérée que les opérateurs ont requis une sophistication technique minimale. Cette campagne représente probablement les premières utilisations de KrakVM, avec des implémentations plus complexes anticipées.
📄 Type d’article
Il s’agit d’une analyse technique publiée par l’équipe de recherche Sublime Security, visant à documenter les TTPs, fournir des IOCs et alerter la communauté CTI sur l’adoption rapide de KrakVM par des opérateurs PhaaS.
🧠 TTPs et IOCs détectés
Acteurs de menace
TTP
- T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1027.009 — Obfuscated Files or Information: Embedded Payloads (Defense Evasion)
- T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
- T1557 — Adversary-in-the-Middle (Credential Access)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1056.003 — Input Capture: Web Portal Capture (Credential Access)
- T1102 — Web Service (Command and Control)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
IOC
Malware / Outils
- FlowerStorm (other)
- KrakVM (tool)
🟡 Indice de vérification factuelle : 51/100 (moyenne)
- ⬜ sublime.security — source non référencée (0pts)
- ✅ 18256 chars — texte complet (fulltext extrait) (15pts)
- ✅ 2 IOC(s) (6pts)
- ⬜ 0/1 IOCs confirmés externellement (0pts)
- ✅ 9 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : FlowerStorm (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://sublime.security/blog/flowerstorm-unleashes-the-krakvm-phaas-operators-turn-to-vm-based-obfuscation/