🔍 Contexte
Publié le 26 mai 2026 par Microsoft Defender Experts et Microsoft Defender Security Research Team, ce rapport détaille une campagne active de cryptojacking sophistiquée identifiée depuis mars 2026, combinant SEO poisoning, abus de chatbots IA, et accès distant persistant via ScreenConnect.
🎯 Ciblage et vecteur initial
La campagne cible délibérément les utilisateurs possédant des GPU haute performance, en usurpant des utilitaires populaires : CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack et PDFgear.
Deux vecteurs d’accès initial ont été observés :
- SEO poisoning : résultats de recherche manipulés redirigeant vers des sites lookalike contrôlés par l’attaquant
- AI chatbot poisoning : des interactions avec des LLMs ont retourné des liens vers des domaines malveillants (observé en avril 2026)
Plus de 150 domaines malveillants ont été identifiés depuis mars 2026, hébergés via le fournisseur DNS dynamique Dynu (dynu.com), principalement sur des sous-domaines de gleeze.com et giize.com.
⚙️ Chaîne d’infection
1. Téléchargement initial Un fichier ZIP est téléchargé depuis un sous-domaine de gleeze.com. Il contient l’exécutable légitime de l’utilitaire usurpé et une DLL malveillante nommée autorun.dll (9 variantes identifiées).
2. DLL Sideloading
L’exécutable légitime charge autorun.dll via DLL sideloading, sans exploitation de vulnérabilité.
3. Installation silencieuse de ScreenConnect
autorun.dll utilise msiexec.exe pour installer silencieusement une seconde DLL nommée vcredist_x64.dll, qui est en réalité un installeur packagé de ScreenConnect (ConnectWise Control). Le client se connecte à 193.42.11[.]108 via directdownload[.]icu:8041.
4. Dépôt de SimpleRunPE.exe
Une fois la session ScreenConnect établie, l’attaquant transfère SimpleRunPE.exe via la fonctionnalité de transfert de fichiers. Ce binaire est un fork probable du PoC public Watermwo/Simple-RunPE-Process-Hollowing. Il se copie en tant que RuntimeHost.exe dans %LocalAppData%\Microsoft\Windows\Caches\D3F4E2A1\.
5. Process Hollowing dans des binaires .NET Microsoft Le malware tente le process hollowing dans l’un des 7 binaires .NET légitimes signés Microsoft (InstallUtil.exe, RegAsm.exe, RegSvcs.exe, MSBuild.exe, AppLaunch.exe, AddInProcess.exe, aspnet_compiler.exe).
🔒 Persistance (6 mécanismes)
- 3 tâches planifiées : Windows System Health, Windows System Health Monitor, Windows System Health Check
- 2 clés de registre Run :
HKLM\...\Run\WinSysCacheetHKCU\...\Run\WinSysCache - 1 raccourci dans le dossier Startup :
RuntimeHost.lnk
🛡️ Évasion
- Exclusions Defender via
Add-MpPreferencepour 13 binaires - Anti-VM : détection VMware, VirtualBox, QEMU via registre, WMI, adresses MAC
- Anti-analyse : liste de 40 outils (dnSpy, x64dbg, IDA, Ghidra, ProcMon, Wireshark, Fiddler…)
- Mutex :
Global\D3F4E2A1_Svc
💰 Mining et C2
Le binaire hollow se connecte au C2 via WebSocket chiffré AES-128-CBC : wss://minemine.gleeze[.]com:8443/ws, avec certificate pinning (SHA-256 hardcodé). Il télécharge à la demande l’un des trois mineurs GPU : gminer, lolMiner, SRBMiner-MULTI.
Le malware effectue une reconnaissance complète (CPU/GPU, RAM, OS, IP, antivirus, activité utilisateur) et suspend le minage si le GPU est actif ou si l’utilisateur est présent.
🌐 Infrastructure C2 liée
93.115[.]10.35,198.23[.]185.238,2.59.132[.]106(pivots via certificat TLS)- Campagnes liées via
giize[.]com:direct-download[.]giize[.]com,free-download[.]giize[.]com
📄 Nature de l’article
Il s’agit d’une analyse technique approfondie publiée par Microsoft Threat Intelligence, visant à documenter la chaîne d’infection complète, fournir des IOCs exploitables, des requêtes de threat hunting KQL et des détections Microsoft Defender associées.
🧠 TTPs et IOCs détectés
TTP
- T1566 — Phishing (Initial Access)
- T1608.006 — Stage Capabilities: SEO Poisoning (Resource Development)
- T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
- T1055.012 — Process Injection: Process Hollowing (Defense Evasion)
- T1219 — Remote Access Software (Command and Control)
- T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
- T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
- T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1082 — System Information Discovery (Discovery)
- T1496 — Resource Hijacking (Impact)
- T1105 — Ingress Tool Transfer (Command and Control)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
IOC
- IPv4 :
193.42.11.108— AbuseIPDB · VT · ThreatFox - IPv4 :
93.115.10.35— AbuseIPDB · VT · ThreatFox - IPv4 :
198.23.185.238— AbuseIPDB · VT · ThreatFox - IPv4 :
2.59.132.106— AbuseIPDB · VT · ThreatFox - Domaines :
direct-download.gleeze.com— VT · URLhaus · ThreatFox - Domaines :
start-download.gleeze.com— VT · URLhaus · ThreatFox - Domaines :
direct-downloads.giize.com— VT · URLhaus · ThreatFox - Domaines :
free-download.giize.com— VT · URLhaus · ThreatFox - Domaines :
directdownload.icu— VT · URLhaus · ThreatFox - Domaines :
minemine.gleeze.com— VT · URLhaus · ThreatFox - URLs :
wss://minemine.gleeze.com:8443/ws— URLhaus - SHA256 :
16562974deec80e41ef57a71a6de8c013ceb393005fb1432f8d9d82c61294ef8c— VT · MalwareBazaar - SHA256 :
1b2555b09ac62164638f47c8272beb6b0f97186e37d3a54cb84c723ff7a2eee5— VT · MalwareBazaar - SHA256 :
062bb28765fbaa11f8cc341fa16e2c7f942a122d929cb41f4a0f755b4429f246— VT · MalwareBazaar - SHA256 :
c7425fbe6c3a4937934215c54027d4b67202d12ab490682fae03498870d66d06— VT · MalwareBazaar - SHA256 :
a460d00ef93c8ce70d32e48e55781af66a53328fc2dde45519be196c265de074— VT · MalwareBazaar - SHA256 :
db2d33c4e6e4a5c2263b56e8303c343305a94dde1fc2968304ba260acbbd9f9f— VT · MalwareBazaar - SHA256 :
cf3f8160eb5a5580e0c35054847e3ac4d01e9fe74fab8bc12bf6e8a40bf696b2— VT · MalwareBazaar - SHA256 :
69077fcf940fc5852fb32beed16636756ebc04ac971b7ed71d36251e7ea70a20— VT · MalwareBazaar - SHA256 :
2ee93ccbcd49ed94c65dcf52e7dcb8f0fa0a443ca24c0e0c7f79152efba657b7— VT · MalwareBazaar - SHA256 :
9ff07c9fafa9c03fdf69e4abf6806aa7c938b5480e7e258f227db0719ecd6386— VT · MalwareBazaar - SHA256 :
7035c2abeb617e828dfda1b119b8544fa9ae15a1d263d18bc5506acaf381f496— VT · MalwareBazaar - SHA256 :
e021662a652ba95c8778b991056696ab3c9b0f60d5e23b1e6cf73c3847db6610— VT · MalwareBazaar - Fichiers :
autorun.dll - Fichiers :
vcredist_x64.dll - Fichiers :
SimpleRunPE.exe - Fichiers :
RuntimeHost.exe - Fichiers :
vlc.exe - Fichiers :
lolMiner.exe - Fichiers :
SRBMiner-MULTI.exe - Fichiers :
gminer.exe - Fichiers :
miner.exe - Fichiers :
RuntimeHost.lnk - Chemins :
%LocalAppData%\Microsoft\Windows\Caches\D3F4E2A1\RuntimeHost.exe - Chemins :
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\RuntimeHost.lnk
Malware / Outils
- autorun.dll (loader)
- SimpleRunPE (loader)
- ScreenConnect (rat)
- lolMiner (tool)
- SRBMiner-MULTI (tool)
- gminer (tool)
🟢 Indice de vérification factuelle : 90/100 (haute)
- ✅ microsoft.com — source reconnue (liste interne) (20pts)
- ✅ 30394 chars — texte complet (fulltext extrait) (15pts)
- ✅ 35 IOCs dont des hashes (15pts)
- ✅ 6/10 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 15 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
193.42.11.108(ip) → VT (7/91 détections)1b2555b09ac62164…(sha256) → VT (30/76 détections)062bb28765fbaa11…(sha256) → VT (20/76 détections)direct-download.gleeze.com(domain) → VT (15/91 détections)start-download.gleeze.com(domain) → VT (7/91 détections)
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/05/26/poisoned-search-results-gpu-mining-cryptojacking-campaign-abusing-screenconnect-microsoft-net-utilities/