🎯 Contexte

Cet article est publié le 3 juin 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom). Il documente une campagne d’espionnage ciblée de cinq mois visant le compte email d’un cadre supérieur d’une grande bourse mondiale, observée entre octobre 2025 et mars 2026.

🕵️ Déroulement de l’attaque

La première activité malveillante détectée remonte au 10 octobre 2025, avec deux binaires masqués déjà installés et exécutés en tant que SYSTEM :

  • armsvc.exe imitant le service Adobe Acrobat Reader Update
  • oneservice.exe imitant un composant OneDrive

Les deux binaires étaient lancés par wininit.exe via le gestionnaire de services, indiquant une élévation de privilèges locale préalable.

📧 Vol incrémental de la boîte mail

À partir du 12 novembre 2025, les attaquants ont déployé un outil de vol de boîte mail basé sur la bibliothèque légitime Aspose.NET, capable de convertir un fichier OST Outlook en PST. L’outil était renommé avec des extensions de fichiers temporaires innocentes (ts_9ea0.tmp, ts_e0d5.tmp, ts_e2d5.tmp) — tous partageant le même SHA256 : db59813e3f27fb8608a4876e758f60b69d9700dc22d15237ac095bb3166fb622.

Les extractions étaient effectuées par fenêtres de dates successives, couvrant l’ensemble de la boîte mail de manière continue jusqu’au 17 février 2026.

📤 Canaux d’exfiltration

  • Dropbox : canal principal via l’API OAuth2, avec un client_id et client_secret réutilisés sur toute la durée de la campagne
  • OneDrive Personal : canal secondaire actif dès le 21 novembre 2025, utilisant des adresses IP Microsoft codées en dur (13.107.137.11, 150.171.41.11) pour éviter toute requête DNS vers onedrive.live.com
  • temp.sh (51.91.79.17) : canal tertiaire expérimental utilisé uniquement les 20-21 novembre 2025, abandonné ensuite

🔧 Persistance et évasion

La persistance était maintenue via des tâches planifiées masquées sous des noms légitimes :

  • \Microsoft\Windows\Adobe\ARM Service (toutes les 5 minutes)
  • \Microsoft\Windows\Lenovo\CheckServerHealth (intervalles de 300, 900 ou 1440 minutes)
  • \Microsoft\Windows\MicrosoftOneDriveSyncServiceCore (toutes les 3 minutes, ajouté le 27 février 2026)

Le 27 février 2026, un nouveau binaire onedrivesync.exe fut déposé. Le 19 mars 2026, un binaire armdriver.exe et une DLL te.host.dll (SHA256 : 6c700ca4e6d917c7aa9d964e98604a0349d9b8b4673df96a3f73a3d2d042635a) furent installés dans un répertoire intel créé par les attaquants, potentiellement pour du DLL side-loading contre Microsoft Test Engine.

🧩 Attribution

L’utilisation exclusive d’outils publics et d’infrastructure cloud légitime ne permet pas d’attribuer cette activité à un groupe connu. La motivation est identifiée comme étant l’espionnage sur la base des commandes observées.

📋 Type d’article

Rapport d’incident technique détaillé publié par Broadcom/Symantec, visant à illustrer les techniques d’une intrusion ciblée longue durée contre un individu de haut rang.

🧠 TTPs et IOCs détectés

TTP

  • T1078 — Valid Accounts (Defense Evasion)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1114.001 — Email Collection: Local Email Collection (Collection)
  • T1567.002 — Exfiltration to Cloud Storage (Exfiltration)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1102 — Web Service (Command and Control)
  • T1560 — Archive Collected Data (Collection)

IOC

  • IPv4 : 51.91.79.17AbuseIPDB · VT · ThreatFox
  • Domaines : temp.shVT · URLhaus · ThreatFox
  • URLs : https://api.dropbox.com/oauth2/tokenURLhaus
  • URLs : https://content.dropboxapi.com/2/files/uploadURLhaus
  • SHA256 : db59813e3f27fb8608a4876e758f60b69d9700dc22d15237ac095bb3166fb622VT · MalwareBazaar
  • SHA256 : 1f385acf11f8ea6673d7295be6492ea9913b525da25dcc037ea49ef4f86a9d58VT · MalwareBazaar
  • SHA256 : 2587217bc685527480c803ddf34a56ae9d9bf02681828a8a2081acc775312cf3VT · MalwareBazaar
  • SHA256 : 6a69ea2ce3fea0ebfd7a32a1dfc4251bd4d7d8a4fbd44aaa47b82290d0414a9fVT · MalwareBazaar
  • SHA256 : 8b283c954d19a839a724961ccaf025c56988c4e745acb2d31a15a006cda072bfVT · MalwareBazaar
  • SHA256 : d78f64551d1b31a31e5998e442f0debd458e011e05019b3951d9ddde997f8384VT · MalwareBazaar
  • SHA256 : 8c0871cd0f60bc603424e948a689945a1828d0bef926a6470ae18cf17d93f7cbVT · MalwareBazaar
  • SHA256 : cf731b82c471211938b210ae8a6dcc7ece4f44371e716f056fa05151a9910727VT · MalwareBazaar
  • SHA256 : acf5ed6e5bb90c44683938f35efeca551428064cdedbbaab8be69e3474fb806fVT · MalwareBazaar
  • SHA256 : 308351124c496d4f4effee65ab828506abf70385773c167ab1f32a7f030385acVT · MalwareBazaar
  • SHA256 : c3405d9c9d593d75d773c0615254e69d0362954384058ee970a3ec0944519c37VT · MalwareBazaar
  • SHA256 : 3b6cb20891bce8602ce669187754871e402a1782031ef8b032cd007e3894bc5dVT · MalwareBazaar
  • SHA256 : d5e42104292513232d26ad7d9d317b5c779577da43e28fe27f8c2fb9318b0e8eVT · MalwareBazaar
  • SHA256 : 3aae5a24e63f3cb1ca4759b9e4ee8e503ff139189423f5fd8cc923c6819697caVT · MalwareBazaar
  • SHA256 : 611db3195d55e871dce67ce5c41e894bbaab88dd0d019af68f5a259f0108aef7VT · MalwareBazaar
  • SHA256 : eaff006ac0eb7f7fe4db5fc6a4b5b1dc272d83ced66d510dcea185b1278bb453VT · MalwareBazaar
  • SHA256 : 02048121fd0b3a51751ce7677155aa8818eba9d8ce67ea26fd1d7f43cfcdabd2VT · MalwareBazaar
  • SHA256 : 6c700ca4e6d917c7aa9d964e98604a0349d9b8b4673df96a3f73a3d2d042635aVT · MalwareBazaar
  • SHA256 : f72a8b71f12eaab6518873f72ea4be4572d9f3fb8e8706ade3b9a7314f236f22VT · MalwareBazaar
  • SHA256 : 22f335a65c479c26019f6187dae290624117c82a702a96acbb04fa325f730d3eVT · MalwareBazaar
  • Fichiers : armsvc.exe
  • Fichiers : oneservice.exe
  • Fichiers : ts_9ea0.tmp
  • Fichiers : ts_e0d5.tmp
  • Fichiers : ts_e2d5.tmp
  • Fichiers : onedrivesync.exe
  • Fichiers : armdriver.exe
  • Fichiers : te.host.dll
  • Fichiers : sidehost.exe
  • Fichiers : bypassuac.exe
  • Fichiers : ss.exe
  • Fichiers : sddsvc.exe
  • Fichiers : sepservice.exe
  • Fichiers : Aspose.exe
  • Chemins : CSIDL_COMMON_APPDATA\adobe\arm\armsvc.exe
  • Chemins : CSIDL_PROFILE\appdata\local\microsoft\onedrive\setup\oneservice.exe
  • Chemins : c:\windows\temp\1.bat
  • Chemins : c:\windows\temp\2.bat
  • Chemins : c:\windows\temp\3.bat
  • Chemins : c:\windows\temp\4.bat
  • Chemins : c:\windows\temp\5.bat
  • Chemins : CSIDL_WINDOWS\temp\ts_9ea0.tmp
  • Chemins : CSIDL_WINDOWS\temp\skin\ts_e0d5.tmp
  • Chemins : CSIDL_WINDOWS\temp\skin\licenses\ts_e2d5.tmp
  • Chemins : CSIDL_COMMON_APPDATA\microsoft onedrive\setup\onedrivesync.exe
  • Chemins : CSIDL_COMMON_APPDATA\adobe\arm\ondemand\armdriver.exe
  • Chemins : CSIDL_COMMON_APPDATA\intel\te.host.dll

Malware / Outils

  • Aspose-based OST Stealer (stealer)
  • SharpDecryptPwd (tool)
  • FRPC (tool)
  • BypassUAC (tool)
  • Secretsdump (tool)
  • sidehost.exe (other)
  • te.host.dll (other)

🟢 Indice de vérification factuelle : 70/100 (haute)

  • ⬜ security.com — source non référencée (0pts)
  • ✅ 14928 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 51 IOCs dont des hashes (15pts)
  • ✅ 4/7 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 51.91.79.17 (ip) → VT (7/91 détections)
  • 1f385acf11f8ea66… (sha256) → VT (56/76 détections)
  • 2587217bc6855274… (sha256) → VT (36/76 détections)
  • temp.sh (domain) → VT (6/91 détections) + ThreatFox (Unknown malware)

🔗 Source originale : https://www.security.com/blog-post/stock-exchange-espionage?utm_source=substack&utm_medium=email