🔍 Contexte

Article publié le 2 juin 2026 par Qualys (blog Qualys Insights), rédigé par Aniket Harne, Senior Security Engineer Cloud. L’article analyse la campagne HazyBeacon (identifiant cluster : CL-STA-1020), initialement documentée par Palo Alto Networks Unit 42 en juillet 2025.

🎯 Acteur et cibles

HazyBeacon cible des réseaux gouvernementaux d’Asie du Sud-Est. L’infrastructure de commande et contrôle est déployée dans des comptes AWS appartenant à des tiers non liés (équipes de développement, petites organisations), dont les credentials IAM ont été compromis.

🛠️ Mécanisme d’attaque

L’attaque repose sur un modèle dit de « Borrowed Infrastructure » en quatre étapes :

  1. Compromission de credentials IAM (clés statiques volées via GitHub, phishing, ou malware ciblant ~/.aws/credentials)
  2. Déploiement d’infrastructure via les APIs AWS légitimes (fonctions Lambda nommées de manière anodine : UpdateWorker, BackupHandler, ImageResizer)
  3. Configuration d’une Lambda Function URL avec AuthType: NONE (accès public non authentifié)
  4. Routage des communications malware à travers l’endpoint HTTPS AWS (https://<url-id>.lambda-url.<region>.on.aws)

La chaîne de communication fonctionne comme suit : le malware sur la victime A envoie un HTTP POST chiffré vers la Lambda (compte victime B), qui strip les headers, logue les métadonnées, et relaie vers le vrai serveur C2 de l’attaquant.

🦠 Payload malveillant

HazyBeacon est un backdoor Windows fonctionnant comme downloader et framework d’exécution léger. Ses fonctions principales :

  • Énumération système : hostname, IP, privilèges utilisateur, version OS
  • Exécution de tâches distantes : réception de commandes chiffrées, téléchargement de payloads supplémentaires, exécution de commandes shell
  • Exfiltration de données : documents volés et keystrokes capturés

🗺️ Mapping MITRE ATT&CK

Tactique ID Technique
Initial Access T1078.004 Valid Accounts: Cloud Accounts
Execution T1648 Serverless Execution
Defense Evasion T1564 Hide Artifacts
Command & Control T1102 Web Service
Command & Control T1090 Proxy

📡 Caractéristiques techniques notables

  • Déploiement préférentiel dans des régions peu surveillées (sa-east-1, eu-north-1)
  • Validation des credentials via aws sts get-caller-identity et aws iam list-attached-user-policies
  • Payload Lambda en Python ou Node.js (zippé)
  • Le trafic C2 apparaît comme du HTTPS légitime vers des domaines AWS (*.on.aws)

📄 Nature de l’article

Il s’agit d’une analyse technique à visée CTI et défensive, publiée par un éditeur de sécurité (Qualys). L’article vise à documenter la campagne HazyBeacon, mapper ses techniques MITRE ATT&CK, et présenter les contrôles défensifs applicables, en promouvant la solution Qualys TotalCloud.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • HazyBeacon (unknown) —

TTP

  • T1078.004 — Valid Accounts: Cloud Accounts (Initial Access)
  • T1648 — Serverless Execution (Execution)
  • T1564 — Hide Artifacts (Defense Evasion)
  • T1102 — Web Service (Command and Control)
  • T1090 — Proxy (Command and Control)

IOC

  • Chemins : ~/.aws/credentials

Malware / Outils

  • HazyBeacon (backdoor)

🟡 Indice de vérification factuelle : 51/100 (moyenne)

  • ⬜ blog.qualys.com — source non référencée (0pts)
  • ✅ 17364 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : HazyBeacon (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://blog.qualys.com/qualys-insights/2026/06/02/hazybeacon-aws-lambda-function-url-command-control-abuse