🔍 Contexte
En mai 2026, Arctic Wolf Labs a publié un rapport d’analyse technique documentant une campagne malveillante exploitant CVE-2026-35616, une vulnérabilité de contrôle d’accès inapproprié dans FortiClient EMS (Endpoint Management Server). La vulnérabilité avait été signalée à Fortinet le 31 mars 2026, après observation d’une exploitation active dans la nature.
🎯 Vecteur d’accès initial
CVE-2026-35616 permet à des acteurs non authentifiés de contourner l’authentification API de FortiClient EMS en envoyant des requêtes HTTP spécialement forgées, traitées comme des actions administratives légitimes. Les attaquants ont ensuite effectué des connexions malveillantes depuis plusieurs adresses IP de nœuds de sortie Tor :
185.220.101.15(AS60729 – Stiftung Erneuerbare Freiheit)192.42.116.14(AS215125 – Church of Cyberology)
Le log caractéristique de l’exploitation est :
Suivi de :
⚙️ Mécanisme de propagation
Les acteurs ont modifié le Remote Access Profile et les politiques d’endpoints dans EMS pour insérer des scripts malveillants via les directives on_connect et script des profils VPN XML. Lors de l’établissement d’un tunnel IPsec, fortitray.exe lançait des fichiers .cmd nommés avec des GUIDs depuis :
Ces scripts exécutaient un PowerShell encodé en base64 téléchargeant le payload malveillant, l’exécutant, attendant 90 secondes, puis exfiltrant les résultats vers 83.138.53.110 via HTTP POST.
Chaîne de processus observée :
🦠 EKZ Infostealer
EKZ Infostealer (nommé d’après des symboles internes extraits du code déchiffré) est un credential stealer Windows compilé avec MinGW-w64/GCC, ciblant :
- Chromium (Chrome, Edge, autres) : localisation via registre, lecture de
Local State, copie dans le répertoireApplication\, appel àIElevator::DecryptDatapour obtenir la clé AES-256 maître (bypass Chromium v20) - Firefox/Gecko (LibreWolf, Waterfox, Pale Moon, Thunderbird) : chargement dynamique de
nss3.dll, extraction depuiskey4.db,logins.json,cookies.sqlite
Le stealer exporte les résultats dans un fichier log.txt dans C:\ProgramData\, sans capacité d’exfiltration réseau native. L’exfiltration est assurée par le script PowerShell parent.
Données volées : cookies de session, mots de passe sauvegardés, données autofill (cartes bancaires, adresses, téléphones).
📦 Indicateurs techniques du payload principal
| Champ | Valeur |
|---|---|
| Nom local | FortiEndpoint_Patch.exe |
| Nom distant | p.exe |
| URL source | http://83.138.53.110/dl/p.exe |
| SHA-256 | 0da123adf9251957a4b850a3f6bd6a753dd4892be176a84a18450e899534cc5e |
| SHA-1 | 17e771c78430cc67e71d4547f8996a1a488e9d3f |
| MD5 | 338662fd0c4d750a0ba203a32b59f081 |
| Taille | 4 019 070 octets |
📄 Type d’article
Il s’agit d’une analyse technique publiée par Arctic Wolf Labs, visant à documenter la campagne, partager les IOCs et fournir des orientations de détection aux défenseurs opérant des déploiements FortiClient EMS.
🧠 TTPs et IOCs détectés
TTP
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
- T1105 — Ingress Tool Transfer (Command and Control)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
- T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1078 — Valid Accounts (Defense Evasion)
- T1098 — Account Manipulation (Persistence)
- T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
- T1560 — Archive Collected Data (Collection)
- T1485 — Data Destruction (Impact)
IOC
- IPv4 :
185.220.101.15— AbuseIPDB · VT · ThreatFox - IPv4 :
192.42.116.14— AbuseIPDB · VT · ThreatFox - IPv4 :
83.138.53.110— AbuseIPDB · VT · ThreatFox - URLs :
http://83.138.53.110/dl/p.exe— URLhaus - URLs :
http://83.138.53.110/service/save.php— URLhaus - SHA256 :
0da123adf9251957a4b850a3f6bd6a753dd4892be176a84a18450e899534cc5e— VT · MalwareBazaar - SHA256 :
d91c00fad521e76efa89715cca89db487d5676f2c767c883482f9c8f82bd383a— VT · MalwareBazaar - SHA256 :
fd65051c61a904a304919c04a8c8633c001183ac73ac461cd4d9057946f02bf5— VT · MalwareBazaar - SHA256 :
2927bc31b4f8254c6b332fc03110a6373cad00ffa2ff9de427c26bb222017bb2— VT · MalwareBazaar - SHA256 :
2f25ea1b622abf3212141af932c2ec4cbd6b2b5903c2a531121f691227d98cff— VT · MalwareBazaar - SHA1 :
17e771c78430cc67e71d4547f8996a1a488e9d3f— VT · MalwareBazaar - MD5 :
338662fd0c4d750a0ba203a32b59f081— VT · MalwareBazaar - CVEs :
CVE-2026-35616— NVD · CIRCL - Fichiers :
FortiEndpoint_Patch.exe - Fichiers :
p.exe - Fichiers :
FortiEndpoint_Patch.2.4.9.zip - Fichiers :
FortiEndpoint_Patch.2.4.9.msi - Fichiers :
fil_api_ms_win_crt_apibase_l1_1_0.dll - Fichiers :
Microsoftr Windowsr Operating System-Installer.exe - Fichiers :
log.txt - Chemins :
C:\Program Files\Fortinet\FortiClient\logs\Trace\scripts\{36_DIGIT_GUID_HERE}.cmd - Chemins :
C:\ProgramData\log.txt
Malware / Outils
- EKZ Infostealer (stealer)
🟢 Indice de vérification factuelle : 90/100 (haute)
- ✅ arcticwolf.com — source reconnue (Rösti community) (20pts)
- ✅ 17739 chars — texte complet (fulltext extrait) (15pts)
- ✅ 22 IOCs dont des hashes (15pts)
- ✅ 6/8 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 15 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/1 CVE(s) confirmée(s) (0pts)
IOCs confirmés externellement :
185.220.101.15(ip) → AbuseIPDB (100% confiance, 150 signalements) + VT (15/91 détections)192.42.116.14(ip) → AbuseIPDB (100% confiance, 450 signalements) + VT (21/91 détections)83.138.53.110(ip) → VT (14/91 détections)0da123adf9251957…(sha256) → VT (47/76 détections)d91c00fad521e76e…(sha256) → VT (19/76 détections)