🎯 Contexte

Le 26 mai 2026 à 14h00 UTC, CrowdStrike Counter Adversary Operations a publié un rapport détaillant l’opération de démantèlement coordonnée du botnet Glassworm, menée en collaboration avec Google et la Shadowserver Foundation. L’opération a ciblé une infrastructure active depuis au moins début 2025.

🕵️ Acteur et ciblage

Les opérateurs de Glassworm sont probablement basés en Russie, sur la base de plusieurs indicateurs convergents : vérification de la locale, de la langue et du fuseau horaire au runtime (sortie silencieuse si machine en pays CEI), et présence de commentaires en langue russe dans le code source. La campagne ciblait spécifiquement les développeurs logiciels, pour leur accès privilégié aux dépôts de code source, pipelines CI/CD, registres de paquets et plateformes cloud.

🔧 Vecteurs d’attaque

  • Extensions VSCode trojanisées publiées sur OpenVSX, ciblant VSCode, Cursor, Positron, Windsurf, VSCodium
  • Paquets npm et Python compromis avec code malveillant dans les hooks postinstall et scripts setup
  • Plus de 300 dépôts GitHub empoisonnés via des credentials développeurs volés, avec force-push sur les branches par défaut
  • Campagne multiplateforme : Windows, macOS, Linux

🏗️ Infrastructure C2 résiliente (4 canaux)

  1. Blockchain Solana : adresses C2 encodées dans les champs memo de transactions blockchain
  2. BitTorrent DHT : configuration stockée contre des clés publiques hardcodées dans le réseau P2P
  3. Google Calendar : titres d’événements utilisés comme dead-drops pour des chemins C2 encodés en Base64
  4. Serveurs VPS directs : infrastructure C2 traditionnelle pour la livraison finale de payloads

💣 Capacités malveillantes

  • Vol d’informations et harvesting de credentials
  • GlasswormRAT : outil d’accès distant complet basé sur Node.js
  • Évolution continue des langages (JavaScript → Rust → Zig)

🔍 Indicateurs de compromission partagés

Les machines infectées par Glassworm balise désormais vers l’IP 164.92.88[.]210 (opérée par CrowdStrike post-takedown). Des règles YARA ont été publiées pour GlasswormRAT et le downloader Python obfusqué.

📋 Type d’article

Il s’agit d’un rapport d’incident et post-mortem opérationnel publié par CrowdStrike, visant à documenter l’opération de démantèlement, partager les IoCs et sensibiliser sur les menaces supply chain ciblant les développeurs.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Glassworm (cybercriminal) —

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
  • T1102 — Web Service (Command and Control)
  • T1568 — Dynamic Resolution (Command and Control)
  • T1056 — Input Capture (Collection)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)

IOC

Malware / Outils

  • GlasswormRAT (rat)
  • Glassworm (botnet)

🟢 Indice de vérification factuelle : 79/100 (haute)

  • ✅ crowdstrike.com — source reconnue (liste interne) (20pts)
  • ✅ 11140 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ✅ 1/1 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, VirusTotal) (8pts)
  • ✅ 11 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Glassworm (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 164.92.88.210 (ip) → VT (3/91 détections)

🔗 Source originale : https://www.crowdstrike.com/en-us/blog/inside-crowdstrike-takedown-of-a-developer-targeting-botnet/