📅 Article publié le 6 juin 2026 sur le blog personnel d’Antonio Parata, présentant une expérience d’analyse dynamique du malware Lorem Ipsum à l’aide de trois outils personnalisés développés en Rust avec assistance de l’IA Claude Pro.

🔬 Contexte malware : Le malware Lorem Ipsum, déjà documenté dans un billet BlueVoyant, est disponible sur MalwareBazaar. Il nécessite Node.js pour s’exécuter, dépose son binaire dans C:\ProgramData\Microsoft Edge Updates Helper qZWpLKQXEGaa\Microsoft Edge Updates Helper.exe, et est fortement obfusqué, rendant l’analyse statique très difficile (IDA ne peut pas décompiler le code).

🛠️ Outils développés :

  • shrun : convertisseur shellcode-vers-PE, génère un fichier exécutable 64 bits avec section .text RWX, compatible x64dbg et IDA
  • apiwatcher : traceur d’appels API Windows avec parsing de fichiers .h pour reconstruire les signatures de fonctions, supporte le filtrage par DLL source (ici msvcp140.dll), trace IAT et fonctions résolues dynamiquement via GetProcAddress
  • argus : outil d’interception réseau similaire à FakeNet, basé sur WinDivert, supportant le HTTPS avec MITM via certificat CA personnalisé et le mode passthrough vers les vrais serveurs C2

🔍 IOCs extraits par analyse dynamique :

  • Mutex : bf428ad4-cb18-44b1-87f7-7047da02c592
  • C2 hostname (apiwatcher) : loginrestforest.com
  • Pattern d’endpoint : /api/init/<UUID>
  • Header HTTP falsifié : Content-Type: image/jpeg
  • IPs contactées par le processus malveillant : 92.118.126.178, 146.19.49.91, 144.217.220.118
  • La logique malveillante est implémentée dans msvcp140.dll

📡 Comportement réseau : Le malware initie des connexions HTTPS vers plusieurs serveurs C2 en suivant le pattern /api/init/<UUID>, puis contacte un serveur de type dead-drop avant de reprendre le cycle.

📝 Cet article est une analyse technique combinant développement d’outils et extraction d’IOCs, dont le but principal est de documenter une méthodologie d’analyse dynamique de malware obfusqué assistée par IA.

🧠 TTPs et IOCs détectés

TTP

  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
  • T1036 — Masquerading (Defense Evasion)
  • T1547 — Boot or Logon Autostart Execution (Persistence)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1106 — Native API (Execution)

IOC

  • IPv4 : 92.118.126.178AbuseIPDB · VT · ThreatFox
  • IPv4 : 146.19.49.91AbuseIPDB · VT · ThreatFox
  • IPv4 : 144.217.220.118AbuseIPDB · VT · ThreatFox
  • Domaines : loginrestforest.comVT · URLhaus · ThreatFox
  • URLs : https://loginrestforest.com/api/init/bf428ad4-cb18-44b1-87f7-7047da02c592URLhaus
  • Fichiers : Microsoft Edge Updates Helper.exe
  • Chemins : C:\ProgramData\Microsoft Edge Updates Helper qZWpLKQXEGaa\Microsoft Edge Updates Helper.exe

Malware / Outils

  • Lorem Ipsum (other)

🟡 Indice de vérification factuelle : 52/100 (moyenne)

  • ⬜ antonioparata.blogspot.com — source non référencée (0pts)
  • ✅ 13684 chars — texte complet (15pts)
  • ✅ 7 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 2/5 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 92.118.126.178 (ip) → VT (3/91 détections)
  • loginrestforest.com (domain) → VT (19/91 détections)

🔗 Source originale : https://antonioparata.blogspot.com/2026/06/shrun-apiwatcher-and-argus-three.html

🖴 Archive : https://web.archive.org/web/20260608092952/https://antonioparata.blogspot.com/2026/06/shrun-apiwatcher-and-argus-three.html