🏛️ Contexte

Le Centre for Cybersecurity Belgium (CCB), département CyTRIS, a publié le 29 avril 2026 un rapport de threat intelligence (version 1.0, TLP:CLEAR) consacré au groupe DragonForce, avec une date de coupure renseignement au 16 avril 2026. Ce rapport constitue un profil complet de l’acteur, couvrant sa motivation, son attribution, ses victimes, ses capacités techniques et son infrastructure.

🎯 Présentation de l’acteur

DragonForce est un opérateur Ransomware-as-a-Service (RaaS) à double extorsion apparu en décembre 2023. Le groupe a compromis plus de 400 victimes à ce jour, dont deux organisations belges (secteurs construction et services aux entreprises). Sa motivation est exclusivement financière, sans affiliation politique ni sponsoring étatique identifié.

  • Le groupe est distinct de DragonForce Malaysia (hacktiviste pro-islamique) malgré une confusion persistante dans la littérature.
  • Des indicateurs suggèrent une origine CIS ou russe : interdiction d’attaquer la Russie et les ex-républiques soviétiques, présence sur le RAMP (Russian Anonymous Marketplace), utilisation de builders issus de fuites de groupes cybercriminels russes.
  • Une accusation non confirmée de contacts avec le FSB russe a été formulée par RansomHub.

📅 Évolution structurelle

Date Événement
Juin 2024 Lancement officiel du programme d’affiliation (80% des paiements aux affiliés)
Mars 2025 Transformation en cartel ransomware (affiliés opèrent sous leurs propres marques)
Août 2025 Lancement d’un service d’analyse de données pour la monétisation de l’extorsion
Septembre 2025 Coalition formelle annoncée avec LockBit et Qilin

DragonForce a également absorbé ou neutralisé des groupes rivaux : BlackLock (site défacé, artefacts leakés) et RansomHub (infrastructure mise hors ligne le 1er avril 2025, affiliés migrés). Le groupe RansomBay opère désormais sur l’infrastructure DragonForce. Scattered Spider a été observé déployant le ransomware DragonForce.

🌍 Victimologie

  • Pays les plus ciblés : États-Unis (dominant), Allemagne, Australie, France, Hong Kong.
  • Aucune victime issue des pays CIS recensée.
  • Secteurs les plus ciblés : Manufacturing, Business Services, Technology, Construction, Healthcare.
  • Ciblage préférentiel des PME à haute valeur économique mais faible maturité cybersécurité.

🛠️ Capacités techniques

DragonForce utilise des TTPs communs aux groupes financièrement motivés :

  • Accès initial : phishing [T1566], exploitation de vulnérabilités publiques [T1190] (Log4j2, Ivanti, Fortinet), brute-force RDP/VPN [T1110]
  • Exécution : PowerShell [T1059.001], Living Off the Land, Cobalt Strike
  • Persistance : comptes compromis [T1078], modification de registre [T1112], Schtasks [T1053.005]
  • Élévation de privilèges : dump de credentials [T1003.002], manipulation de tokens [T1134], BYOVD [T1068]
  • Évasion : EDR killing via drivers vulnérables (truesight.sys, rentdrv2.sys), timestomping [T1070.006], suppression de fichiers [T1070.004]
  • Credential Access : Mimikatz, LaZagne, PassView
  • Mouvement latéral : RDP [T1021.001], SMB [T1021.002], PsExec [T1569.002], WMI [T1047], exploitation de SimpleHelp RMM
  • Exfiltration : SFTP, WebDAV, HTTP/S, FTP, MEGA, site de fuite dédié [T1041]
  • Impact : chiffrement multi-plateforme (Windows, Linux, VMware ESXi, NAS) [T1486]

Payloads : basés sur les builders leakés de LockBit 3.0 et Conti V3, avec ajout de la technique BYOVD.

🔓 Vulnérabilités exploitées

  • CVE-2024-57726 / CVE-2024-57727 / CVE-2024-57728 (SimpleHelp, CVSS 9.1–9.9)
  • CVE-2023-46805 / CVE-2024-21887 / CVE-2024-21893 (Ivanti Connect Secure / Policy Secure)
  • CVE-2024-40766 (SonicWall SonicOS, CVSS 9.3)
  • CVE-2024-55591 (Fortinet FortiOS / FortiProxy, CVSS 9.8)
  • CVE-2024-21762 (Fortinet FortiOS / FortiProxy, CVSS 9.8)
  • CVE-2024-21412 (Microsoft Windows Internet Shortcut Files, CVSS 8.1)
  • CVE-2021-44228 (Apache Log4j2, CVSS 10)

🏗️ Infrastructure

Infrastructure majoritairement européenne, à dominante britannique (ISPs UK), avec recours à des hébergeurs bulletproof : Global Connectivity Solutions LLP, QWINS LTD, Alviva Holding Limited, Datacamp Limited. Utilisation de proxies, VPNs et réseaux obscurcis.

📋 Type de document

Ce document est un rapport d’analyse de menace produit par une autorité nationale de cybersécurité (CCB Belgique), destiné aux organisations souhaitant renforcer leur résilience face à DragonForce et ses affiliés. Il inclut un package IOC distribué via une instance MISP (UUID : 3a82cce4-3a41-4abf-9b1d-8ccbdd58f4eb).

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
  • T1588 — Obtain Capabilities (Resource Development)
  • T1566 — Phishing (Initial Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1078 — Valid Accounts (Initial Access)
  • T1078.002 — Valid Accounts: Domain Accounts (Initial Access)
  • T1110 — Brute Force (Credential Access)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1204 — User Execution (Execution)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1574.001 — Hijack Execution Flow: DLL Search Order Hijacking (Execution)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1112 — Modify Registry (Persistence)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1134 — Access Token Manipulation (Privilege Escalation)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1070.006 — Indicator Removal: Timestomp (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
  • T1003.002 — OS Credential Dumping: Security Account Manager (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1087 — Account Discovery (Discovery)
  • T1010 — Application Window Discovery (Discovery)
  • T1082 — System Information Discovery (Discovery)
  • T1016 — System Network Configuration Discovery (Discovery)
  • T1018 — Remote System Discovery (Discovery)
  • T1482 — Domain Trust Discovery (Discovery)
  • T1069.002 — Permission Groups Discovery: Domain Groups (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1518 — Software Discovery (Discovery)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1569.002 — System Services: Service Execution (Lateral Movement)
  • T1047 — Windows Management Instrumentation (Lateral Movement)
  • T1560 — Archive Collected Data (Collection)
  • T1074 — Data Staged (Collection)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1219 — Remote Access Tools (Command and Control)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1048 — Exfiltration Over Alternative Protocol (Exfiltration)
  • T1567.002 — Exfiltration Over Web Service: Exfiltration to Cloud Storage (Exfiltration)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1489 — Service Stop (Impact)
  • T1657 — Financial Theft (Impact)

IOC

  • Domaines : 3pktcrcbmssvrnwe5skburdwe2h3v6ibdnn5kbjqihsg6eu6s6b7ryqd.onionVT · URLhaus · ThreatFox
  • Domaines : z3wqggtxft7id3ibr7srivv5gjof5fwg76slewnzwwakjuf3nlhukdid.onionVT · URLhaus · ThreatFox
  • CVEs : CVE-2024-57727NVD · CIRCL
  • CVEs : CVE-2024-57728NVD · CIRCL
  • CVEs : CVE-2024-57726NVD · CIRCL
  • CVEs : CVE-2023-46805NVD · CIRCL
  • CVEs : CVE-2024-40766NVD · CIRCL
  • CVEs : CVE-2024-55591NVD · CIRCL
  • CVEs : CVE-2024-21412NVD · CIRCL
  • CVEs : CVE-2021-44228NVD · CIRCL
  • CVEs : CVE-2024-21887NVD · CIRCL
  • CVEs : CVE-2024-21893NVD · CIRCL
  • CVEs : CVE-2024-21762NVD · CIRCL
  • Fichiers : dragonforce.exe
  • Fichiers : truesight.sys
  • Fichiers : rentdrv2.sys
  • Fichiers : Netscanold.exe

Malware / Outils

  • DragonForce ransomware (ransomware)
  • Cobalt Strike (framework)
  • SystemBC (backdoor)
  • Mimikatz (tool)
  • LaZagne (tool)
  • AdFind (tool)
  • PassView (tool)
  • PCHunter (tool)
  • ProcessHacker (tool)
  • PsExec (tool)
  • SoftPerfect (tool)
  • SimpleHelp RMM (tool)

🟢 Indice de vérification factuelle : 67/100 (haute)

  • ⬜ ccb.belgium.be — source non référencée (0pts)
  • ✅ 67752 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 17 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 2/2 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 55 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : DragonForce, DragonForce Malaysia, Scattered Spider (5pts)
  • ⬜ 0/5 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 3pktcrcbmssvrnwe5skburdwe2h3v6ibdnn5kbjqihsg6eu6s6b7ryqd.onion (domain) → VT (9/91 détections)
  • z3wqggtxft7id3ibr7srivv5gjof5fwg76slewnzwwakjuf3nlhukdid.onion (domain) → VT (6/91 détections)

🔗 Source originale : https://ccb.belgium.be/cyber-threat-report