🔍 Contexte
Publié le 3 juin 2026 par Check Point Research (auteur : Alexey Bukhteyev), cet article présente une analyse technique approfondie d’un écosystème de distribution de malwares à grande échelle, actif depuis au moins décembre 2025 et documenté avec des livraisons malveillantes confirmées dès janvier 2026.
🎭 Mécanisme d’usurpation et de détournement de clics
L’opération repose sur des sites web imitant des projets open-source et freeware populaires (Ghidra, dnSpy, ILSpy, grpcurl, MQTTExplorer, CrystalDiskMark, etc.), bien positionnés dans les résultats Google. Ces sites chargent un script JavaScript hébergé sur Amazon CloudFront qui intercepte le premier clic sur le bouton « Download » et le redirige vers un Traffic Distribution System (TDS).
Le script utilise des techniques d’interception d’événements (mousedown sur Chrome, click sur Firefox) avec preventDefault() et stopImmediatePropagation(), tout en conservant l’URL légitime visible dans la barre de statut du navigateur. Un système de frequency capping via localStorage rend la chaîne non reproductible après le premier clic.
🔀 Infrastructure TDS et chaînes de redirection
La configuration TDS est délivrée dynamiquement depuis CloudFront et contient :
- Un domaine redirecteur (
oundhertobeconsist.org) - Un domaine pixel (
ukentaspectsofc.org) - Des paramètres de capping et d’intervalle
Les branches observées incluent :
- Redirection vers des offer walls / content lockers (PUA)
- Chaînes multi-gates via
trkscope[.]xyzetfile-enter-web[.]commenant à des archives malveillantes - Livraison via des buckets S3 AWS ou Mega.nz
Plus de 100 sites actifs ont été identifiés, avec plus de 5 000 soumissions VirusTotal pour les échantillons associés.
🦠 Famille 1 : SessionGate (loader multi-étapes)
SessionGate est un framework loader inédit, livré depuis originaldownloads[.]info et getfluxfile[.]com. Caractéristiques :
- Stage 1 : Exécutable ~20 MB contenant une archive 7-Zip SFX avec un installeur leurre et ~5 MB de code obfusqué. Vérifie des services (ESET, Sysmon) via hashes Adler-32, des processus via SHA1, et des paramètres Windows Defender/Enterprise.
- C2 Stage 1 :
appfreshstart[.]com,appgetonline[.]com,webinnosetup[.]com,appmakingcenter[.]com. URL structurée avec signature SHA1 et salt118107B05C590076239FF759CD9E5. User-Agent :NSIS_InetLoad (Mozilla). - Stage 2 : Second SFX (~10 MB), PDB path
D:\code\cpp-downloader-scb-reg-other\Plugins\7ZipDownloader\Output\SFXWin.pdb. Déchiffre deux DLL en mémoire via AES-CBC. - DLL #1 (Key Broker) : Contacte des domaines CRC (
yourfastcrc[.]com, etc.) viacheck_version?version=<SHA256_hash>pour obtenir un token de déchiffrement unique par session. - DLL #2 : Framework installeur/bundler réseau-contrôlé, récupère une config chiffrée depuis
appmakingcenter[.]comet exécute silencieusement des payloads (PUA : PDF Spark, NibblrAI, PCPooch, etc.).
Le design one-time key rend l’analyse extrêmement difficile : la clé de déchiffrement de DLL #2 n’est fournie qu’une seule fois par session/IP.
🕵️ Famille 2 : RemusStealer (infostealer MaaS)
RemusStealer est un infostealer apparu sur un forum underground russophone le 12 février 2026 (vendeur : RemusStealer), proposé en abonnement à $250/$500. Livré via une archive ZIP protégée par mot de passe (~14 MB compressé, ~850 MB décompressé par padding de zéros).
Capacités :
- Vol de données Chromium (History, Login Data, Cookies, Web Data, clé DPAPI)
- Vol de profils Firefox/NSS (key4.db, cert9.db, logins.json, etc.)
- 332 extensions de navigateur ciblées : 220 wallets crypto (MetaMask, Phantom, Trust Wallet, Coinbase, Rabby, OKX, Binance, Keplr, Ronin, Yoroi, UniSat…), 77 gestionnaires de mots de passe (1Password, Bitwarden, LastPass, Dashlane, KeePassXC…), 18 extensions 2FA (Authy, 2FAS…)
- Recherche fichiers, reconnaissance registre, vol presse-papiers, capture d’écran
- C2 via HTTP POST avec
access_tokenetstep, User-Agent Firefox - C2 primaire :
buccstanor[.]pics:28313, fallback :baxe[.]pics:48261
💰 Famille 3 : AnimateClipper (clipper crypto avec C2 on-chain)
AnimateClipper est distribué via une page ClickFix imitant une vérification Cloudflare (processing-in-progress-x4.t3.storage[.]dev). Chaîne d’infection :
mshta.exeexécutehttps://185.161.251.58/navy.7z(HTA avec VBScript obfusqué)- Téléchargement d’un script PowerShell depuis
http://194.150.220[.]218/4SLEYpfAk57hGubo/fo0suc2ki2.rtf - Téléchargement d’un ZIP Python depuis
https://cdn-1415.brightcanvas[.]digital/fo0suc2ki2.rtf - Exécution d’un shellcode via
ntdll!LdrCallEnclavedans l’interpréteur Python - Mapping PE en mémoire du clipper final
Résolution C2 on-chain : requête eth_call sur le contrat 0x6936edc505501EBB2F202C985a021a06f1c10C9E (BNB Smart Chain Testnet) → résolution vers kr.hugo-lapp[.]co.
Le clipper surveille le presse-papiers et remplace les adresses crypto par 21 adresses attaquantes couvrant Bitcoin, Ethereum, Litecoin, TRON, XRP, Cosmos, TON, Solana, et d’autres. Premières transactions entrantes détectées le 12 juillet 2025.
📊 Type d’article
Publication de recherche technique à visée CTI, documentant une campagne active avec extraction complète d’IOCs, analyse de malwares et cartographie de l’infrastructure.
🧠 TTPs et IOCs détectés
TTP
- T1583.001 — Acquire Infrastructure: Domains (Resource Development)
- T1608.004 — Stage Capabilities: Drive-by Target (Resource Development)
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1189 — Drive-by Compromise (Initial Access)
- T1204.002 — User Execution: Malicious File (Execution)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
- T1218.005 — System Binary Proxy Execution: Mshta (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1027.002 — Obfuscated Files or Information: Software Packing (Defense Evasion)
- T1027.009 — Obfuscated Files or Information: Embedded Payloads (Defense Evasion)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
- T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
- T1055 — Process Injection (Defense Evasion)
- T1620 — Reflective Code Loading (Defense Evasion)
- T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
- T1553 — Subvert Trust Controls (Defense Evasion)
- T1082 — System Information Discovery (Discovery)
- T1057 — Process Discovery (Discovery)
- T1012 — Query Registry (Discovery)
- T1614 — System Location Discovery (Discovery)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
- T1115 — Clipboard Data (Collection)
- T1113 — Screen Capture (Collection)
- T1005 — Data from Local System (Collection)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1102 — Web Service (Command and Control)
- T1568 — Dynamic Resolution (Command and Control)
- T1573 — Encrypted Channel (Command and Control)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
IOC
- IPv4 :
217.156.122.75— AbuseIPDB · VT · ThreatFox - IPv4 :
194.150.220.218— AbuseIPDB · VT · ThreatFox - IPv4 :
94.231.205.229— AbuseIPDB · VT · ThreatFox - Domaines :
oundhertobeconsist.org— VT · URLhaus · ThreatFox - Domaines :
ukentaspectsofc.org— VT · URLhaus · ThreatFox - Domaines :
trkscope.xyz— VT · URLhaus · ThreatFox - Domaines :
file-enter-web.com— VT · URLhaus · ThreatFox - Domaines :
media.stellarcloudhub1.cfd— VT · URLhaus · ThreatFox - Domaines :
arch2.maxdatahost1.cyou— VT · URLhaus · ThreatFox - Domaines :
originaldownloads.info— VT · URLhaus · ThreatFox - Domaines :
getfluxfile.com— VT · URLhaus · ThreatFox - Domaines :
javascriptapiusa.com— VT · URLhaus · ThreatFox - Domaines :
appfreshstart.com— VT · URLhaus · ThreatFox - Domaines :
appgetonline.com— VT · URLhaus · ThreatFox - Domaines :
webinnosetup.com— VT · URLhaus · ThreatFox - Domaines :
appmakingcenter.com— VT · URLhaus · ThreatFox - Domaines :
yourfastcrc.com— VT · URLhaus · ThreatFox - Domaines :
mobileversioncrc.com— VT · URLhaus · ThreatFox - Domaines :
webcrcprove.com— VT · URLhaus · ThreatFox - Domaines :
integritycrc.com— VT · URLhaus · ThreatFox - Domaines :
buccstanor.pics— VT · URLhaus · ThreatFox - Domaines :
baxe.pics— VT · URLhaus · ThreatFox - Domaines :
intem.lat— VT · URLhaus · ThreatFox - Domaines :
ropea.top— VT · URLhaus · ThreatFox - Domaines :
forestoaker.com— VT · URLhaus · ThreatFox - Domaines :
gluckcreek.online— VT · URLhaus · ThreatFox - Domaines :
brightcanvas.digital— VT · URLhaus · ThreatFox - Domaines :
kr.hugo-lapp.co— VT · URLhaus · ThreatFox - Domaines :
io.hugo-lapp.lat— VT · URLhaus · ThreatFox - Domaines :
cw.hugo-lapp.lat— VT · URLhaus · ThreatFox - Domaines :
st.hugo-lapp.lat— VT · URLhaus · ThreatFox - Domaines :
td.hugo-lapp.lat— VT · URLhaus · ThreatFox - Domaines :
fd.hugo-lapp.lat— VT · URLhaus · ThreatFox - Domaines :
ed.hugo-lapp.lat— VT · URLhaus · ThreatFox - Domaines :
flame-guard.cc— VT · URLhaus · ThreatFox - Domaines :
carlessclapped.com— VT · URLhaus · ThreatFox - Domaines :
ghidralite.com— VT · URLhaus · ThreatFox - Domaines :
dnspy.org— VT · URLhaus · ThreatFox - Domaines :
ilspy.org— VT · URLhaus · ThreatFox - Domaines :
grpcurl.com— VT · URLhaus · ThreatFox - Domaines :
mqttexplorer.com— VT · URLhaus · ThreatFox - Domaines :
mfcmapi.com— VT · URLhaus · ThreatFox - Domaines :
winsetupfromusb.org— VT · URLhaus · ThreatFox - Domaines :
crystaldiskmark.org— VT · URLhaus · ThreatFox - Domaines :
guiformat.com— VT · URLhaus · ThreatFox - Domaines :
unlockcontent.org— VT · URLhaus · ThreatFox - URLs :
https://d33f51dyacx7bd.cloudfront.net/?aydfd=1237183— URLhaus - URLs :
https://dcbbwymp1bhlf.cloudfront.net/?wbbcd=1236609— URLhaus - URLs :
https://d2f5h9m0jmnhjh.cloudfront.net— URLhaus - URLs :
https://s3.us-east-2.amazonaws.com/marketstagofortdas/ehjm145uvt/Download_Ready_461049.html?utm_source=partner_consent— URLhaus - URLs :
https://s3.us-east-2.amazonaws.com/activeslatnascdngetrcv/wstq162fmo/SetupFile_839132.html?utm_source=partner_consent— URLhaus - URLs :
https://s3.us-east-2.amazonaws.com/marketstagofortdas/ehjm145uvt/Download_Ready_461049.exe— URLhaus - URLs :
https://appfreshstart.com/06A3AEF73537C68C/00507206521/26203FA83EC99DDE/77035662512?FF584F0057B9F6F81770356625— URLhaus - URLs :
http://buccstanor.pics:28313— URLhaus - URLs :
http://baxe.pics:48261— URLhaus - URLs :
http://217.156.122.75:1378— URLhaus - URLs :
http://intem.lat:9592— URLhaus - URLs :
http://ropea.top:28313— URLhaus - URLs :
http://forestoaker.com:6290— URLhaus - URLs :
http://buccstanor.pics:48261— URLhaus - URLs :
http://94.231.205.229:28313— URLhaus - URLs :
http://gluckcreek.online:48261— URLhaus - URLs :
https://185.161.251.58/navy.7z— URLhaus - URLs :
http://194.150.220.218/4SLEYpfAk57hGubo/fo0suc2ki2.rtf— URLhaus - URLs :
https://cdn-1415.brightcanvas.digital/fo0suc2ki2.rtf— URLhaus - SHA256 :
598b023e56c45b19173e8f96c1c88036d732fec305cf6bf1b9cf4dbe304beb7f— VT · MalwareBazaar - SHA256 :
74091f5a8746a1c68d73e1fc1e4e1ff514632ee3f632a8b306f35dabae2d2b64— VT · MalwareBazaar - SHA256 :
15e6df0c95f2147952308e640d55270e9d097639eaebb34d4b352415f1c6bceb— VT · MalwareBazaar - SHA256 :
3bb92771e287aa0a8bdd8e5b5bb697427223eaefded3d9b64b5d5c32ad40f3c2— VT · MalwareBazaar - SHA256 :
cbad672d9bd06ce91ce465d049e50696fbaec9d209ca0ab1fd814d993d04bc9b— VT · MalwareBazaar - SHA256 :
4cdb1f7ac502289119f7f8256f00baaa994e6ecfb4000dcf5e1c46073508fcb3— VT · MalwareBazaar - SHA256 :
ce0888df5e28716432013a8ae002437bd3e993fbe8362c5ff9efbddabfe0ab77— VT · MalwareBazaar - SHA256 :
26f2abfc254a59c2386dd46dca16744f7147a0f0366cb6008e1d53219175f44c— VT · MalwareBazaar - SHA256 :
e6a1a428a7c09c9946f7c0179d89b263f442dc3208b5144a9146c200e4185bd6— VT · MalwareBazaar - SHA256 :
87361ba2bb412dcf49f8738f3b8b9b7dccb557ad2e76ea8d98ffa5b098ae3886— VT · MalwareBazaar - SHA256 :
39dc2327fe1e5a56ac5ad9dc02f0386cff3d83dcfdc558cacba42ebb9dcc5ec2— VT · MalwareBazaar - SHA256 :
2e842eab0c16ddd1a2ec4a56610adb58d115b65a1e08e9b67e7e375f8eed0873— VT · MalwareBazaar - Fichiers :
navy.7z - Fichiers :
fo0suc2ki2.rtf - Fichiers :
node_modules.asar - Fichiers :
SFXWin.pdb - Chemins :
D:\code\cpp-downloader-scb-reg-other\Plugins\7ZipDownloader\Output\SFXWin.pdb - Chemins :
C:\Windows\SysWOW64\mshta.exe
Malware / Outils
- SessionGate (loader)
- RemusStealer (stealer)
- AnimateClipper (other)
🟢 Indice de vérification factuelle : 90/100 (haute)
- ✅ research.checkpoint.com — source reconnue (liste interne) (20pts)
- ✅ 54786 chars — texte complet (fulltext extrait) (15pts)
- ✅ 83 IOCs dont des hashes (15pts)
- ✅ 9/12 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 32 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
217.156.122.75(ip) → VT (19/91 détections) + ThreatFox (Stealc)194.150.220.218(ip) → VT (11/91 détections) + ThreatFox (SectopRAT)94.231.205.229(ip) → VT (17/91 détections) + ThreatFox (Remus)598b023e56c45b19…(sha256) → VT (13/76 détections)74091f5a8746a1c6…(sha256) → VT (23/76 détections)
🔗 Source originale : https://research.checkpoint.com/2026/impersonation-click-hijacking-and-tds-inside-a-malware-distribution-ecosystem