Analyse technique du framework C2 Havoc : techniques d'évasion et cycle d'infection

🔍 Contexte : Le 10 juin 2026, l’équipe SonicWall Capture Labs Threat Research a publié une analyse technique d’un échantillon du framework C2 Havoc, connu pour ses capacités de furtivité avancées et utilisé dans diverses campagnes malveillantes.

⚙️ Cycle d’infection : L’infection se déroule en deux étapes :

• Un script VBS légèrement obfusqué télécharge et exécute un binaire malveillant sous forme de bundle MSI (update.msi)
• Le MSI dépose deux fichiers imitant des composants Microsoft légitimes : EndpointDLP.dll et MpExtMs.exe, dans le répertoire C:\Users\user\AppData\Local\PlatformServices\
• EndpointDLP.dll présente un horodatage falsifié à 2070 (timestomping)

🛡️ Techniques d’évasion :

• Sleep obfuscation pour contourner les EDR
• Return address stack spoofing
• Indirect syscalls
• Détection d’environnements virtuels : qemu, vmware, vbox, hyper-v
• Anti-debugging via : DebugPort, GetProcessHeap, GetProcedureAddress, IsDebuggerPresent
• Auto-suppression des fichiers après exécution

🔑 Persistance et collecte :

• Clé de registre de persistance : HKEY_CURRENT_USER\Environment UserInitMprLogonScript
• Mutex : \Sessions\1\BaseNamedObjects\Global\{7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d}
• Collecte de données de localisation via GetLocaleInfoW / GetLocaleInfoEx
• Énumération des processus via ToolHelp32Snapshot
• Requêtes WMIC pour les processus, fabricant système et pilotes
• Requête DNS TXT vers 00000000.2b544fb026cdb578e44f63ea60043f23.t.phantom.local

📡 Infrastructure C2 : Plusieurs URLs pointant vers 194.59.31.192:8443 ont été identifiées en mémoire (non actives lors de l’analyse).

📄 Type d’article : Analyse technique publiée par un éditeur de sécurité, visant à documenter le comportement du malware et à fournir des IOCs exploitables pour la détection.

🧠 TTPs et IOCs détectés

TTP

• T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
• T1218.007 — System Binary Proxy Execution: Msiexec (Defense Evasion)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
• T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1070.006 — Indicator Removal: Timestomp (Defense Evasion)
• T1082 — System Information Discovery (Discovery)
• T1057 — Process Discovery (Discovery)
• T1135 — Network Share Discovery (Discovery)
• T1120 — Peripheral Device Discovery (Discovery)
• T1071.004 — Application Layer Protocol: DNS (Command and Control)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1055 — Process Injection (Defense Evasion)

IOC

• IPv4 : 194.59.31.192 — AbuseIPDB · VT · ThreatFox
• Domaines : 00000000.2b544fb026cdb578e44f63ea60043f23.t.phantom.local — VT · URLhaus · ThreatFox
• URLs : http://194.59.31.192:8443/stage/2b544fb026cdb578e44f63ea60043f23 — URLhaus
• URLs : http://194.59.31.192:8443/stage/7c402e4f5f3f6c3b996e7a3b9fc15165 — URLhaus
• URLs : http://194.59.31.192:8443/stage/e60d04ad98fbe681bc475eefefd9c736 — URLhaus
• URLs : https://194.59.31.192:8443/api/v2/telemetry/diag3y — URLhaus
• URLs : https://194.59.31.192:8443/api/v2/telemetry/diag — URLhaus
• SHA256 : d24216d0b82747e9406a696da76960183926145f9621947e34a772137f5e22a6 — VT · MalwareBazaar
• SHA256 : f2357e70f359803d42298d016c7e1631e9fba6c7e01e5df1eb8fb9ff7eb3df4e — VT · MalwareBazaar
• SHA256 : 7d4fb94f6b4623690daea67ed52e97705cb102f443988ff605f2a9c4898244dc — VT · MalwareBazaar
• Fichiers : update.msi
• Fichiers : EndpointDLP.dll
• Fichiers : MpExtMs.exe
• Chemins : C:\Users\user\AppData\Local\PlatformServices\EndpointDLP.dll
• Chemins : C:\Users\user\AppData\Local\PlatformServices\MpExtMs.exe

Malware / Outils

• Havoc (framework)

🟢 Indice de vérification factuelle : 70/100 (haute)

• ⬜ sonicwall.com — source non référencée (0pts)
• ✅ 4800 chars — texte complet (fulltext extrait) (15pts)
• ✅ 15 IOCs dont des hashes (15pts)
• ✅ 4/8 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 14 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 194.59.31.192 (ip) → VT (13/91 détections)
• d24216d0b82747e9… (sha256) → VT (35/76 détections)
• f2357e70f359803d… (sha256) → VT (9/76 détections)
• 7d4fb94f6b462369… (sha256) → VT (47/76 détections)

🔗 Source originale : https://www.sonicwall.com/blog/tracking-havoc-malware-activity-and-evasion-techniques