🔍 Contexte

Publié le 5 juin 2026 par l’équipe Howler Cell de Cyderes, cet article constitue une analyse technique approfondie d’une campagne active de supply chain compromise. Il fait suite à un premier rapport sur CPUID HWMonitor et étend la portée à 11 packages trojanisés au total.

🎯 Description de la campagne

Un acteur opérant sous l’alias Leda Elacoate (email : pufferfish11@firemail[.]cc) a maintenu un dépôt Bitbucket (amos-trading/dist-internal) hébergeant des installateurs légitimes repackagés avec une CRYPTBASE.dll malveillante. La technique exploite la CWE-427 (Uncontrolled Search Path Element) : Windows cherche CRYPTBASE.dll dans le dossier applicatif avant System32, permettant le chargement du DLL malveillant.

📦 Packages trojanisés identifiés (11 au total)

  • Phase crypto (jan. 2026) : Binance, MEXC, Bybit, MetaTrader 5, Exodus
  • Phase élargie (fév. 2026) : Steam (contenant un MT5 renommé), X-VPN
  • Hors dépôt Bitbucket : FileZilla, HWMonitor, CPUZ, LibreOffice

⚙️ Mécanisme d’attaque

Tous les packages suivent une chaîne de déploiement identique :

  1. L’installateur trojanisé charge la CRYPTBASE.dll malveillante depuis le dossier applicatif
  2. La DLL malveillante charge simultanément la CRYPTBASE.dll légitime depuis System32 (maintien de la fonctionnalité normale)
  3. Déclenchement d’une chaîne de décompression multi-étapes
  4. Injection réflective en mémoire du payload STX RAT (aucun artefact sur disque)
  5. Callback C2 via HTTPS vers les sous-domaines de supp0v3[.]com

🦠 STX RAT — Capacités confirmées

  • Accès distant et exécution de commandes
  • Vol de credentials (navigateurs, tokens de session, comptes système)
  • Collecte de données (infos système, processus, contenu presse-papiers)
  • C2 over HTTPS (trafic camouflé)
  • Exécution en mémoire uniquement (pas de persistance sur disque)

🌐 Infrastructure C2

Sous-domaine Phase
helloworld.supp0v3.com Packages initiaux (Binance → Steam)
welcome.supp0v3.com Post-rotation (X-VPN, FileZilla, HWMonitor, CPUZ)

La rotation de sous-domaine a coïncidé avec la période de recherche active. Le domaine racine supp0v3.com est considéré comme infrastructure C2 active dans son intégralité.

🔑 Cas X-VPN (package le plus significatif)

X-VPN (100M+ utilisateurs déclarés) a été ciblé via un installateur repackagé. La configuration embarquée contient le placeholder changeme pour le referrer, indiquant un workflow basé sur un builder où les paramètres sont injectés avant distribution. Divulgation coordonnée : notification le 18 mai 2026, patch livré en version 77.5.3 le 28 mai 2026 (10 jours). Les utilisateurs ayant installé X-VPN depuis les canaux officiels ne sont pas affectés.

📊 Configurations des packages

Les tags de campagne identifiés : click (phase initiale), tbs (HWMonitor/CPUZ/FileZilla), tiktxe (X-VPN). Le referrer dll sert de marqueur interne pour le vecteur de sideloading.

📄 Type d’article

Analyse technique et rapport de campagne active, publiée dans le cadre d’une divulgation coordonnée avec X-VPN, visant à documenter l’ensemble de la chaîne d’attaque et fournir des IOCs exploitables aux défenseurs.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Leda Elacoate (unknown) —

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Persistence)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1027.009 — Obfuscated Files or Information: Embedded Payloads (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1036.008 — Masquerading: Masquerade File Type (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)

IOC

  • Domaines : supp0v3.comVT · URLhaus · ThreatFox
  • Domaines : helloworld.supp0v3.comVT · URLhaus · ThreatFox
  • Domaines : welcome.supp0v3.comVT · URLhaus · ThreatFox
  • Domaines : firemail.ccVT · URLhaus · ThreatFox
  • URLs : https://bitbucket.org/amos-trading/dist-internal/raw/main/vendor/URLhaus
  • SHA256 : 4b68fcafac8ebe50d5ae489400f33ce01f85de4204eba01a1585fe49002c1582VT · MalwareBazaar
  • SHA256 : 74b5d631cc6802a5790f99a4bfefd9b3dfcfb43007f9fc576f7dfd4eac69d52eVT · MalwareBazaar
  • SHA256 : a2b2fe65819a955b8e2351dd3b75540a9cc38cd0009708a50db2bf9adb8e0657VT · MalwareBazaar
  • SHA256 : 10f9632491ec37a51d32f41d806e70894f12eed38b74ac2e1f44e9e22226348fVT · MalwareBazaar
  • SHA256 : ea0ce49a0d7730c6cbcc809ef9c244fb45720c115b3328e8cc293be6bcd7d26cVT · MalwareBazaar
  • Emails : pufferfish11@firemail.cc
  • Fichiers : CRYPTBASE.dll
  • Fichiers : X-VPN.zip
  • Fichiers : Binance.zip
  • Fichiers : MEXC.zip
  • Fichiers : Bybit.zip
  • Fichiers : mt5setup.zip
  • Fichiers : Exodus.zip
  • Fichiers : Steam.zip
  • Fichiers : FileZilla.zip
  • Fichiers : HWMonitor.zip
  • Fichiers : CPUZ.zip

Malware / Outils

  • STX RAT (rat)

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ cyderes.com — source reconnue (Rösti community) (20pts)
  • ✅ 24770 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 22 IOCs dont des hashes (15pts)
  • ✅ 4/7 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Leda Elacoate (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 74b5d631cc6802a5… (sha256) → VT (41/77 détections)
  • supp0v3.com (domain) → VT (20/91 détections) + ThreatFox (Unknown malware)
  • helloworld.supp0v3.com (domain) → VT (14/91 détections)
  • welcome.supp0v3.com (domain) → VT (21/91 détections) + ThreatFox (Unknown malware)

🔗 Source originale : https://www.cyderes.com/howler-cell/cpuid-hwmonitor-xvpn-dll-sideloading-stx-rat