🔍 Contexte

Publié le 5 juin 2026 par Xavier Mertens sur l’Internet Storm Center (ISC/SANS), cet article documente la réapparition d’une technique de dissimulation de payload dans des images JPEG de type fond d’écran MSI, déjà observée quelques mois auparavant.

📧 Vecteur initial

L’attaque débute par un e-mail contenant un lien WeTransfer légitime pointant vers un fichier JavaScript nommé “Remittance Advice.js” (SHA256 : 8a83de81fbac4eb0961f3d58982f299664a5fa4c874c7469e69f85f3fc5bd33f). Le fichier dépasse 2 Mo et contient une grande quantité de code inutile (boucles for vides) pour noyer le code malveillant.

⚙️ Chaîne d’exécution

  1. Décodage ROT13 d’une commande PowerShell stockée dans une variable d’environnement (INTERNAL_DB_CACHE)
  2. Exécution via WMI (Win32_Process.Create) avec fenêtre cachée et bypass de politique d’exécution
  3. Téléchargement d’une image JPEG depuis un worker Cloudflare : icy-lab-0431.guilherme-telecomunicacoes2024.workers.dev/mCSlB
  4. Extraction d’un payload Base64 délimité par IN- et -in1, avec les caractères A remplacés par #
  5. Chargement d’une DLL .NET (SHA256 : 184a3008adff54cb345a599b4f3ca0c7bde29d8ac8379783ff40cd4e7ecc931b), version modifiée de la bibliothèque open-source Microsoft.Win32.TaskScheduler
  6. Téléchargement d’un second fichier image (snake.png) depuis Cloudflare R2, contenant probablement un payload supplémentaire protégé par stéganographie

🌐 Infrastructure

  • Utilisation de Cloudflare Workers et Cloudflare R2 comme hébergement de payloads pour contourner les filtrages réseau
  • Recours à WeTransfer pour la distribution initiale du fichier malveillant

📄 Type d’article

Il s’agit d’une analyse technique publiée en cours d’investigation, documentant la chaîne d’infection complète d’un loader .NET furtif avec stéganographie, à des fins de partage de threat intelligence opérationnelle.

🧠 TTPs et IOCs détectés

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1047 — Windows Management Instrumentation (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1027.003 — Obfuscated Files or Information: Steganography (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1218 — System Binary Proxy Execution (Defense Evasion)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)

IOC

  • Domaines : icy-lab-0431.guilherme-telecomunicacoes2024.workers.devVT · URLhaus · ThreatFox
  • Domaines : pub-a06eb79f0ebe4a6999bcc71a2227d8e3.r2.devVT · URLhaus · ThreatFox
  • URLs : https://we.tl/t-R4Wv1JkvFfC4AwusURLhaus
  • URLs : http://icy-lab-0431.guilherme-telecomunicacoes2024.workers.dev/mCSlBURLhaus
  • URLs : https://pub-a06eb79f0ebe4a6999bcc71a2227d8e3.r2.dev/snake.pngURLhaus
  • SHA256 : 8a83de81fbac4eb0961f3d58982f299664a5fa4c874c7469e69f85f3fc5bd33fVT · MalwareBazaar
  • SHA256 : 184a3008adff54cb345a599b4f3ca0c7bde29d8ac8379783ff40cd4e7ecc931bVT · MalwareBazaar
  • Fichiers : Remittance Advice.js
  • Fichiers : snake.png

Malware / Outils

  • Remittance Advice.js (loader)
  • Microsoft.Win32.TaskScheduler (modifié) (loader)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ isc.sans.edu — source reconnue (liste interne) (20pts)
  • ✅ 4214 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 9 IOCs dont des hashes (15pts)
  • ✅ 3/7 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 184a3008adff54cb… (sha256) → VT (38/76 détections)
  • icy-lab-0431.guilherme-telecomunicacoes2024.workers.dev (domain) → VT (15/91 détections)
  • pub-a06eb79f0ebe4a6999bcc71a2227d8e3.r2.dev (domain) → VT (15/91 détections)

🔗 Source originale : https://isc.sans.edu/diary/33054