WeedHack : campagne MaaS ciblant Minecraft via SEO poisoning et YouTube

🔍 Contexte

Publié le 2 juin 2026 par McAfee Labs (auteur : Aayush Tyagi), cet article présente une analyse technique détaillée de la campagne WeedHack, un service de Malware-as-a-Service (MaaS) ciblant l’écosystème Minecraft, actif depuis janvier 2026.

🎯 Description de la campagne

WeedHack se déguise en clients et mods Minecraft légitimes pour infecter ses victimes. La campagne a généré plus de 116 464 hits au total, avec une moyenne de 2 000 à 3 000 hits par jour. Plus de 3 820 fichiers JAR malveillants et 240 URLs de distribution ont été identifiés.

La campagne propose deux niveaux de service :

• Tier gratuit : infostealer ciblant 4 launchers Minecraft, 36 navigateurs, 56 portefeuilles crypto basés sur navigateur, 12 portefeuilles desktop, Discord, Steam, Telegram, capture d’écran
• Tier premium (à partir de 5$/mois ou 24,99$ à vie) : accès webcam, keylogging, reverse shell, partage d’écran avec contrôle clavier/souris, gestion de fichiers

📡 Vecteurs de distribution

• SEO poisoning : ciblage de clients Minecraft sans site officiel (Meteor Client, Radium Client, Wurst Client, LiquidBounce, etc.) pour dominer les résultats de recherche
• YouTube : deux chaînes identifiées diffusant des vidéos de présentation de mods/clients avec liens malveillants en description et commentaires
• Discord et Reddit : promotion indirecte pour maintenir une apparence de légitimité

🔧 Analyse technique (chaîne d’infection)

Stage 1 – DonutDupe.jar :

• Relance via javaw.exe pour masquer la console
• Lit un identifiant unique depuis fabric.api.json
• Utilise EtherHiding : interroge un smart contract Ethereum pour récupérer le domaine C2 dynamique
• Les réponses sont signées RSA et vérifiées avant exécution
• Télécharge le Stage 2 en mémoire via un Class Loader personnalisé

Stage 2 – Elevator.jar :

• Protégé par JNIC (obfuscateur Java vers code natif C via JNI)
• Effectue un bypass UAC via CMSTP (fichier INF malveillant)
• Ajoute 13 chemins et 15 processus en exclusion Windows Defender
• Collecte informations système (OS, CPU, GPU, RAM), réseaux Wi-Fi proches, informations compte Mullvad VPN
• Vole tokens Discord, cookies et mots de passe via chromedriver.dll
• Télécharge Stage 3 : SecurityManager.jar

Stage 3 – SecurityManager.jar :

• Crée une clé de registre Run pour la persistance
• Crée une tâche planifiée JavaSecurityUpdater (exécution à chaque connexion, privilèges maximum)
• Ajoute C:\Users en exclusion Windows Defender
• Télécharge Stage 4 : component.jar

Stage 4 – Component.jar :

• Déploie RuntimeBroker.exe (backdoor RAT) connecté à wss://remotev2.whpayment.ru/ws/client pour accès bureau distant et webcam
• Crée des règles de pare-feu pour RuntimeBroker.exe et javaw.exe
• Crée une tâche planifiée JMonitoringTask (watchdog toutes les 2 minutes)
• Déploie Telemetry.exe (infostealer Telegram et crypto wallets), persistance via tâche planifiée toutes les 5 minutes, C2 séparé : telemetrydata.to

🌍 Géographie et infrastructure

Pays les plus touchés : États-Unis, Allemagne, Inde, Royaume-Uni, Italie, Vietnam, Canada, Norvège, Suède, Finlande, Espagne.

Le dashboard est hébergé sur weedhack.to. 10 domaines hébergent les payloads et le dashboard. 11 domaines liés à des campagnes MaaS antérieures du même acteur ont été identifiés.

Le paiement s’effectue en Bitcoin et Litecoin, avec création d’un nouveau wallet pour chaque transaction.

👥 Acteurs et canal Telegram

Le canal Telegram de la campagne comptait plus de 850 membres avant sa suppression. La majorité des clients semblent être des adolescents et jeunes adultes utilisant les capacités d’accès distant pour du cyberharcèlement.

📋 Type d’article

Il s’agit d’une publication de recherche de McAfee Labs visant à documenter techniquement la campagne WeedHack, exposer son infrastructure, ses mécanismes d’infection et ses indicateurs de compromission.

🧠 TTPs et IOCs détectés

TTP

• T1566 — Phishing (Initial Access)
• T1608.006 — Stage Capabilities: SEO Poisoning (Resource Development)
• T1204.002 — User Execution: Malicious File (Execution)
• T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
• T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
• T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1620 — Reflective Code Loading (Defense Evasion)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1102 — Web Service (Command and Control)
• T1568 — Dynamic Resolution (Command and Control)
• T1573 — Encrypted Channel (Command and Control)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
• T1113 — Screen Capture (Collection)
• T1125 — Video Capture (Collection)
• T1056.001 — Input Capture: Keylogging (Collection)
• T1005 — Data from Local System (Collection)
• T1571 — Non-Standard Port (Command and Control)
• T1082 — System Information Discovery (Discovery)
• T1016 — System Network Configuration Discovery (Discovery)

IOC

• IPv4 : 92.119.164.235 — AbuseIPDB · VT · ThreatFox
• Domaines : whpayment.ru — VT · URLhaus · ThreatFox
• Domaines : whack.cy — VT · URLhaus · ThreatFox
• Domaines : weedhack.to — VT · URLhaus · ThreatFox
• Domaines : whtempdomain.com — VT · URLhaus · ThreatFox
• Domaines : whreceiverrrrrrrrr.ru — VT · URLhaus · ThreatFox
• Domaines : friendlydomain.ru — VT · URLhaus · ThreatFox
• Domaines : whrc.ru — VT · URLhaus · ThreatFox
• Domaines : whnewreceive.ru — VT · URLhaus · ThreatFox
• Domaines : weedhack.xyz — VT · URLhaus · ThreatFox
• Domaines : acabstealer.ru — VT · URLhaus · ThreatFox
• Domaines : stealer.to — VT · URLhaus · ThreatFox
• Domaines : 1312services.ru — VT · URLhaus · ThreatFox
• Domaines : 1312stealer.ru — VT · URLhaus · ThreatFox
• Domaines : dieserbenni.ru — VT · URLhaus · ThreatFox
• Domaines : marsalek.cy — VT · URLhaus · ThreatFox
• Domaines : stealer.cy — VT · URLhaus · ThreatFox
• Domaines : newlumm.fun — VT · URLhaus · ThreatFox
• Domaines : limbo100x.ru — VT · URLhaus · ThreatFox
• Domaines : pentagon.cy — VT · URLhaus · ThreatFox
• Domaines : telemetrydata.to — VT · URLhaus · ThreatFox
• Domaines : donutdupe.xyz — VT · URLhaus · ThreatFox
• Domaines : skytils.net — VT · URLhaus · ThreatFox
• Domaines : farmhelper-macro.com — VT · URLhaus · ThreatFox
• Domaines : skyhanni.net — VT · URLhaus · ThreatFox
• Domaines : xenonclient.com — VT · URLhaus · ThreatFox
• Domaines : odinclient.com — VT · URLhaus · ThreatFox
• Domaines : nova-client.com — VT · URLhaus · ThreatFox
• Domaines : kryptonclient.gg — VT · URLhaus · ThreatFox
• Domaines : simplevoicechatmod.com — VT · URLhaus · ThreatFox
• Domaines : notenoughupdates.net — VT · URLhaus · ThreatFox
• Domaines : remotev2.whpayment.ru — VT · URLhaus · ThreatFox
• URLs : https://whpayment.ru — URLhaus
• URLs : http://whack.cy/ — URLhaus
• URLs : https://weedhack.to/dashboard/auth/login — URLhaus
• URLs : https://whtempdomain.com — URLhaus
• URLs : https://whreceiverrrrrrrrr.ru/dashboard/overview — URLhaus
• URLs : https://whtempdomain.com/ — URLhaus
• URLs : http://friendlydomain.ru/ — URLhaus
• URLs : http://whrc.ru/ — URLhaus
• URLs : https://whnewreceive.ru/ — URLhaus
• URLs : http://weedhack.xyz — URLhaus
• URLs : http://92.119.164.235/ — URLhaus
• URLs : https://acabstealer.ru/ — URLhaus
• URLs : http://stealer.to/ — URLhaus
• URLs : http://1312services.ru/ — URLhaus
• URLs : https://1312stealer.ru/ — URLhaus
• URLs : http://dieserbenni.ru/ — URLhaus
• URLs : https://marsalek.cy/ — URLhaus
• URLs : http://stealer.cy/ — URLhaus
• URLs : https://newlumm.fun/ — URLhaus
• URLs : http://limbo100x.ru/ — URLhaus
• URLs : http://pentagon.cy/ — URLhaus
• URLs : https://aetherminecraft.lovable.app/game-mods — URLhaus
• URLs : https://donutdupe.xyz/DonutDupe-1.21.1.jar — URLhaus
• URLs : https://www.skytils.net/skytils-1.21.11.jar — URLhaus
• URLs : https://night-client-hub.lovable.app/downloads/dupeclient1.21.11-1.21.11.jar — URLhaus
• URLs : http://chromium-client.github.io/main/ChromiumClient-.jar — URLhaus
• URLs : https://farmhelper-macro.com/downloads/FarmHelper-1.21.jar — URLhaus
• URLs : https://skyhanni.net/downloads/1-21-5/SkyHanni-6.0.0-mc1.21.5.jar — URLhaus
• URLs : https://xenonclient.com/downloads/XenonClient-1.21.jar — URLhaus
• URLs : https://odinclient.com/Odin-1.21.10-latest.jar — URLhaus
• URLs : https://nova-client.com/Nova-Client-1.21.11-latest.jar — URLhaus
• URLs : https://pixeldrain.com/api/file/o4jKp4Tx?download — URLhaus
• URLs : https://kryptonclient.gg/downloads/KryptonClient.jar — URLhaus
• URLs : https://simplevoicechatmod.com/downloads/voicechat-fabric-1.21.11-2.6.11.jar — URLhaus
• URLs : https://www.notenoughupdates.net/downloads/NotEnoughUpdates-1.21.5.jar — URLhaus
• URLs : https://download2281.mediafire.com/jauvm3juydxggiNLRPkzg-hBEQ9fc9IzMzMCAY_BRiGVMg_VrsDLTQVIJfsq8QfJn7hqLZFDgYigs27kOYaViC05jdawf-9rxEKKpi_lg-7FzEG1xfEph2q17W0C7reY0P-zGfI-HSAknLDhz4WJblw2GCHrXyaO2eDXMI_S2QSh-Ik/1iskin1nr2av9jx/JennyMod_Fabric_1.21-1.0.0+%281%29.jar — URLhaus
• URLs : https://download2282.mediafire.com/ulew3ffsg8igzrwikDrX1CBNddz9Q-Q_njGGhftuIFu1GN5SiqIKOScEjVWNvkoXe9_qFO1VJ-UgvABYdfLpSWHiAtkMYs2sQ1MOuvg4taPYHfRrfMlNr2p0OauPRi-SRi-FCBOou37THLnL5ZGDG6ylmTq_kphdyf2bdUdTGxs/kzltscks354a1at/KryptonClient%2B1.21.11.jar — URLhaus
• URLs : https://gitlab.com/shlostval52/meteorclient-1.21.11/-/raw/main/AutoHarpTSM-1.21.11.jar?inline=false — URLhaus
• URLs : https://cdn.discordapp.com/attachments/1480069398847819806/1484225086423699607/ThunderHack_NextGen-0.3.jar?ex=69ed9294&is=69ec4114&hm=cc730a4d8bf87f790362f6a4cd95190f1289ebc43a5fac9cb2d41d0b435625fb& — URLhaus
• URLs : https://limewire.com/decrypt/Download?downloadId=96751c7f-be08-4261-b9ee-78541782f59b — URLhaus
• URLs : https://cdn.discordapp.com/attachments/1471155297258049578/1471159638572666940/SPOILER_Casino_Rigger.jar?ex=698debae&is=698c9a2e&hm=71bc572ecaf1a384fb13de478b64799cc9aa2fdc649ff3339d67f7d8ce3f5313& — URLhaus
• URLs : https://cdn.discordapp.com/attachments/1471566328522473643/1472074919356530688/NEW_5050BJPAPER_1_1.jar?ex=6991e8da&is=6990975a&hm=d0e9b86426403d3b186f1314705e0e7f34670881be8bc87d731bb072ccfb55b4& — URLhaus
• URLs : https://cdn.discordapp.com/attachments/1470522425405079585/1470522505604239646/Xenon_Crack_by_Cipher_Service.jar?ex=698c430e&is=698af18e&hm=49f840ac3b7b32aa57865dd285412264b07b6ec0cdafdd731d3e54a7923dd0fb& — URLhaus
• URLs : https://cdn.discordapp.com/attachments/1470560423743983678/1470890304788889620/NEW_5050BJPAPER_1.jar?ex=698cf0d8&is=698b9f58&hm=4b852782cbef5bdc216964f4254c94c9288fcb650f5363bb6dcb436a3335d025& — URLhaus
• URLs : https://t.me/+pw_g24ajDcQwMmYy — URLhaus
• URLs : https://t.me/MetaMaskenMann — URLhaus
• SHA256 : f2100e1f73477bc565f8909e069942dac1f884654ed4ba213ca9a84b1e761ab8 — VT · MalwareBazaar
• SHA256 : d3f2464ae0e48218e1d48bdfab8301ee5236f7624adcdba1720dc27058461076 — VT · MalwareBazaar
• SHA256 : b982fbafa954a8dcf7cfcffe31bc48a56b60f75a86b052b1f01cf535ffcafd2c — VT · MalwareBazaar
• SHA256 : 29546a03e07bfeb3025313b12671c758ced1c4921a4bc859a7ab40ec52584cdb — VT · MalwareBazaar
• SHA256 : d81b98a69363d8d994ef553beeb5e15384ed32f0e343708b73c7e6b313b9aace — VT · MalwareBazaar
• SHA256 : f790346bece8e448313f701586cc7fd18291dfda721aae8d86ebfacf14055645 — VT · MalwareBazaar
• SHA256 : 5f7680feccc15814299df3c3c11e9b1c4f33069aac5a19c03b87e15f30c2312b — VT · MalwareBazaar
• SHA256 : 256b5b5d0524c442261028767b94f7188b0b81663b50c63300fca7733a04ea7d — VT · MalwareBazaar
• SHA256 : e123d1f7cbea562237f7a5f50638d148fb58048c9ad095e0b0ad52e43bfedad0 — VT · MalwareBazaar
• SHA256 : d468983f98ff100ad8fd613315af4c88d67bec76782b66b260c413c587987bf0 — VT · MalwareBazaar
• SHA256 : ef31bb219b84744e02f90947f31a25958b2b34524ed3795799ed6eff876e4bcd — VT · MalwareBazaar
• SHA256 : 5d537a058ec19e6ceea593738f122b777d866042ea0bad194539757de13c46f4 — VT · MalwareBazaar
• SHA256 : 697ee941abee202d8e84e5e3fed8b9f34eea8772ee56dc867fce017507a5eeaf — VT · MalwareBazaar
• SHA256 : f9a6911e8d9130c779db2e79f901d75d90f9e3ad08c36e7fb927959b7d988bae — VT · MalwareBazaar
• SHA256 : 86f8c0a92eb9aba3c3416667361652a9e11b6ddc1119bb5b3564bc107b950ddb — VT · MalwareBazaar
• SHA256 : 790ff5cda1668e7aa390fbb1682a4d578195aa40542f64b7b6d56a6eccde12c9 — VT · MalwareBazaar
• SHA256 : db533717da686f3b76b9de85ecd80d326a14572056a33d31f794bffbffd96c26 — VT · MalwareBazaar
• SHA256 : 8b53f53f72b8fef755666b6f239c06a69a9940e1b9f5d19e022150750035fa80 — VT · MalwareBazaar
• SHA256 : 6b2218999ac27f6085cb02f693a3c99bd6abedfc20e00e22709e526015c89f4e — VT · MalwareBazaar
• SHA256 : 9682adf40a3621ffe5e1b426c5b90d0ed70e663738857bb4d18d37d93bbd4e6c — VT · MalwareBazaar
• SHA256 : 3951533d56803cd5d708014b4eed7e30349b4c4ba43f7d843133b3a5e2992ce6 — VT · MalwareBazaar
• SHA256 : 37bcec9ba357a2cb13a4f0f910e40f01e33973a5d637a3487c298105ae1ff22b — VT · MalwareBazaar
• SHA256 : 08a64523d7a05defb6cc5c87df340d76f9ef7ccc9623a0d33898 1be4cd9cd6c7 — [VT](https://www.virustotal.com/gui/search/08a64523d7a05defb6cc5c87df340d76f9ef7ccc9623a0d33898 1be4cd9cd6c7) · [MalwareBazaar](https://bazaar.abuse.ch/browse.php?search=sha256%3A08a64523d7a05defb6cc5c87df340d76f9ef7ccc9623a0d33898 1be4cd9cd6c7)
• SHA256 : 36a89f65fe2d693a094b51495f3a84d0f4f2ae7276649952d6f78c8ea5282e6f — VT · MalwareBazaar
• SHA256 : d4918edbf7ada4883d89a01dcf5332413b7773b12d0e479f2cf502e3245c93720 — VT · MalwareBazaar
• SHA256 : cf9bc0a3e01a7b466bc35dbf88563adf61c884ad5fb2b28afd1298a5f723f370 — VT · MalwareBazaar
• SHA256 : d28bc760f0b80905ea199809ad7ebfc73ab12aeab0ad3ee2dd11990657d2d9eb — VT · MalwareBazaar
• SHA256 : 7f69a67316872186fd440b4126a77c419f14b459542181c5e12feb49a223fd39 — VT · MalwareBazaar
• SHA256 : 902cb8bfa3863df299ac804dc77e3e9366658b2b3c2ec5d3a1bdaf2e52520ce5 — VT · MalwareBazaar
• SHA256 : 2a5baf86a3e982eb557dffffabb619c9e80581d41cdc4b85b06367b588647a7d — VT · MalwareBazaar
• SHA256 : ea595940815a11901bd99214b26d9528034f7182bd6c3bf2fe3179ac92e00afc — VT · MalwareBazaar
• SHA256 : dba9908f63f5f32405f7a728f37979e743814532378cabc4f0e9f24c34197c60 — VT · MalwareBazaar
• SHA256 : 77dd1dd9b12699c64ab31c0140b28c70339014a0969f3bb7a79068f5b8f3f34a — VT · MalwareBazaar
• SHA256 : 32e743d1e3957f35651a9d15a83bc128b82108c17b0fa64d63fa98b1d326fc9d — VT · MalwareBazaar
• SHA256 : a81ba29e550beae21fff69bfe0478249eb7078b173f9cf2040d74df299fc9d5b — VT · MalwareBazaar
• SHA256 : 14118a6070f89baafd5f2aeaf2df7535a8053f99944453584f0d1efeb6501ac3 — VT · MalwareBazaar
• SHA256 : b9f71ed4b08c93a7fc5468bee23660e3129e1cf9c84100d4d40ade7a0fb7c851 — VT · MalwareBazaar
• SHA256 : daea54043739d45a0fa61fd72fe5a5c9acb5e69 — VT · MalwareBazaar
• SHA256 : fdceafe4dcf9cf6d23b2033824275c08ec73d6b01adc644416e43ecca94c89c9 — VT · MalwareBazaar
• SHA256 : 226889380ca1695158cd42ba4b7d89352c4fa74010583669ac89ad69fdefd566 — VT · MalwareBazaar
• SHA256 : 1b5ca4d2b5eb23041da0f6effd c408d50768701d4140a21c9fbd244f9458d720 — [VT](https://www.virustotal.com/gui/search/1b5ca4d2b5eb23041da0f6effd c408d50768701d4140a21c9fbd244f9458d720) · [MalwareBazaar](https://bazaar.abuse.ch/browse.php?search=sha256%3A1b5ca4d2b5eb23041da0f6effd c408d50768701d4140a21c9fbd244f9458d720)
• SHA256 : c7691712d794d4ef582c591566bf5fda76a364b0bcdad315adbaaec8607ad0f3 — VT · MalwareBazaar
• Fichiers : DonutDupe.jar
• Fichiers : elevator.jar
• Fichiers : SecurityManager.jar
• Fichiers : component.jar
• Fichiers : RuntimeBroker.exe
• Fichiers : Telemetry.exe
• Fichiers : WinDefConfig.cmd
• Fichiers : elv.vbs
• Fichiers : Updater.vbs
• Fichiers : chromedriver.dll
• Fichiers : fabric.api.json
• Fichiers : WindowsRunetimeBroker.exe
• Fichiers : Glazed_Addon-1.0.0.jar
• Fichiers : paper-rig-mod-new.jar
• Fichiers : RadiumClient.jar
• Fichiers : Radium-1.0.0 (1).jar
• Fichiers : Bedrockfinder-1.0.0.jar
• Fichiers : 4e client 1.21.11.jar
• Fichiers : AutoRynek-1.21.4.jar
• Fichiers : donutsmp-duper-1.0.0.jar
• Fichiers : GodMode-2.8.1.jar
• Fichiers : krypton-cracked-1.0.0.jar
• Fichiers : krypton-cracked-1.0.01.jar
• Fichiers : Example-1.0.0.jar
• Fichiers : Krypton-1.0.0.jar
• Fichiers : Vapev4-1.21.11.jar
• Fichiers : Donutdupeworking-1.21.11.jar
• Fichiers : opticam-1.0.0.jar
• Fichiers : Nightsoulv2-1.21.11.jar
• Fichiers : asdasd-1.21.111.jar
• Fichiers : dupe_bypass_1.21.11-1.21.11.jar
• Fichiers : Module.jar
• Chemins : C:\Users\admin\AppData\Roaming\ChromeDriver\chromedriver.dll
• Chemins : C:\Users\admin\AppData\Roaming\Microsoft\SecurityUpdates\SecurityManager.jar
• Chemins : C:\Users\admin\AppData\Roaming\Microsoft\SecurityUpdates\Updater.vbs
• Chemins : C:\Users\admin\AppData\Roaming\Microsoft\SecurityUpdates\component.jar
• Chemins : C:\Users\admin\AppData\Roaming\RuntimeBroker.exe
• Chemins : C:\Users\admin\AppData\Roaming\Microsoft\Tlmtry\Telemetry.exe
• Chemins : C:\Users\admin\AppData\Roaming\WindowsRunetimeBroker.exe

Malware / Outils

• WeedHack (rat)
• WeedHack Infostealer (stealer)
• JNIC (tool)
• EtherHiding (other)

---

🟢 Indice de vérification factuelle : 70/100 (haute)

• ⬜ mcafee.com — source non référencée (0pts)
• ✅ 35968 chars — texte complet (fulltext extrait) (15pts)
• ✅ 159 IOCs dont des hashes (15pts)
• ✅ 6/10 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 25 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 92.119.164.235 (ip) → VT (5/91 détections)
• f2100e1f73477bc5… (sha256) → VT (19/76 détections)
• d3f2464ae0e48218… (sha256) → VT (22/76 détections)
• whpayment.ru (domain) → VT (21/91 détections) + ThreatFox (Unknown malware)
• whack.cy (domain) → VT (13/91 détections)

---

🔗 Source originale : https://www.mcafee.com/blogs/other-blogs/mcafee-labs/weedhack-minecraft-malware-as-a-service-campaign-research/