🎯 Contexte

Source : BleepingComputer, publié le 27 mai 2026. Microsoft a découvert et analysé une campagne de cryptojacking active ciblant spécifiquement les systèmes équipés de GPU haute performance, diffusée via une opération coordonnée de SEO poisoning et de manipulation de recommandations de chatbots IA.

🔗 Vecteur d’infection initial

Les victimes sont attirées vers des pages de téléchargement malveillantes imitant des utilitaires légitimes populaires :

  • CrystalDiskInfo
  • HWMonitor
  • Display Driver Uninstaller
  • FurMark
  • K-Lite Codec Pack
  • PDFgear

Les liens malveillants sont boostés dans les résultats de recherche via SEO poisoning. En avril, des cas ont également été signalés où des chatbots IA (dont ChatGPT) ont redirigé des utilisateurs vers des domaines contrôlés par les attaquants dans leurs réponses générées.

📦 Mécanisme d’infection

Le téléchargement est une archive ZIP hébergée sur un sous-domaine de gleeze[.]com (domaine historiquement associé à du phishing). L’archive contient :

  • L’exécutable légitime de l’utilitaire demandé
  • Une DLL malveillante chargée automatiquement au lancement du binaire légitime (DLL sideloading)

La DLL utilise msiexec.exe pour installer vcredist_x64.dll, qui est en réalité un installeur du RAT ScreenConnect.

🛠️ Post-compromission et persistance

Une fois la session ScreenConnect établie, l’attaquant dépose SimpleRunPE.exe, qui se copie en tant que RuntimeHost.exe dans un dossier masqué dans l’Explorateur. Ce binaire établit six mécanismes de persistance dans des emplacements Windows autostart.

Dans certains cas, le binaire est déposé via un script PowerShell malveillant et sauvegardé sous le nom vlc.exe pour imiter le lecteur multimédia VideoLAN.

🕳️ Évasion et anti-analyse

  • Process hollowing dans des binaires .NET légitimes signés Microsoft : InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, AppLaunch.exe, AddInProcess.exe, aspnet_compiler.exe
  • Ajout du chemin malveillant aux exclusions Microsoft Defender via PowerShell
  • Détection de machines virtuelles et de 40 processus d’outils d’analyse — arrêt de l’exécution si détectés

⛏️ Modules de minage

Trois modules de minage GPU sont supportés :

  • gminer
  • lolMiner
  • SRBMiner-MULTI

Microsoft souligne que la campagne se distingue par une stratégie de ciblage et monétisation optimisée pour maximiser le rendement de minage GPU par appareil compromis, plutôt que par le volume.

📋 Type d’article

Il s’agit d’une analyse de menace basée sur une publication de recherche Microsoft, visant à documenter une campagne active de cryptojacking GPU avec ses TTPs, IOCs et mécanismes techniques.

🧠 TTPs et IOCs détectés

TTP

  • T1608.006 — Stage Capabilities: SEO Poisoning (Resource Development)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Persistence)
  • T1055.012 — Process Injection: Process Hollowing (Defense Evasion)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1219 — Remote Access Software (Command and Control)
  • T1496 — Resource Hijacking (Impact)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1027.002 — Obfuscated Files or Information: Software Packing (Defense Evasion)

IOC

  • Domaines : gleeze.comVT · URLhaus · ThreatFox
  • Fichiers : SimpleRunPE.exe
  • Fichiers : RuntimeHost.exe
  • Fichiers : vcredist_x64.dll
  • Fichiers : vlc.exe

Malware / Outils

  • ScreenConnect (rat)
  • SimpleRunPE (loader)
  • gminer (other)
  • lolMiner (other)
  • SRBMiner-MULTI (other)

🟢 Indice de vérification factuelle : 68/100 (haute)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 4190 chars — texte complet (15pts)
  • ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 1/1 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 11 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • gleeze.com (domain) → ThreatFox (Nanocore RAT)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/gpu-mining-malware-spreads-via-seo-poisoning-ai-chatbots/

🖴 Archive : https://web.archive.org/web/20260528072254/https://www.bleepingcomputer.com/news/security/gpu-mining-malware-spreads-via-seo-poisoning-ai-chatbots/