Grixba : Analyse technique approfondie de l'outil d'information du groupe Play Ransomware

🔍 Contexte

Publié le 8 juin 2026 sur The Raven File, cet article constitue une analyse technique approfondie de Grixba, l’outil de reconnaissance interne développé par le groupe Play Ransomware (actif depuis 2022, 1200+ victimes). L’analyse couvre quatre échantillons compilés entre septembre 2022 et novembre 2024, soit une période de 26 mois.

🎯 Présentation de Grixba

Grixba est un infostealer/scanner réseau personnalisé développé en .NET avec Costura pour l’intégration des dépendances. Il est utilisé en phase de pré-chiffrement pour cartographier l’environnement cible :

• Logiciels installés, outils de sécurité (AV/EDR), solutions RMM et de backup
• Identifiants utilisateurs, portefeuilles crypto, données de messagerie
• Hôtes actifs, sessions RDP en cache, routes réseau

📊 Évolution des quatre versions

v1 (sept. 2022 — SHA256 : 453257c3…) — 164 KB, architecture monolithique, sortie CSV non protégée (export.zip), x86

v1.5 (nov. 2022 — SHA256 : c59f3c8d…) — 175 KB, ajout du scan réseau actif par plages IP, collecte de l’historique navigateur via SMB, référencé par CISA/FBI (AA23-352A) comme “Play network scanner / Gt_net.exe” et par Symantec comme Infostealer.Grixba

v2 (mai 2023 — SHA256 : f8810179…) — 727 KB, architecture modulaire avec inf_g.dll chiffré XOR dans data.dat, sortie SQLite (ExportData.db), usurpation de SentinelOne dans les métadonnées PE (“SentinelOne Compatibility Wizard” v1.1.6.0), archive protégée par mot de passe (data.zip), C2 via PIA VPN (84.239.41.12), passage à x64. Compilé ~3 semaines après la divulgation publique de Symantec.

v3 (nov. 2024 — SHA256 : 3621468d…) — 118 KB (régression délibérée), suppression du moteur SQLite, externalisation du payload de scan, suppression des métadonnées SentinelOne, retour à x86, réduction de la liste de cibles AV/EDR. Coïncide avec la collaboration confirmée avec Jumpy Pisces (Andariel/DPRK).

🔑 Findings techniques clés

• Mutex persistant : CPFATE_2704_v4.0.30319 présent dans v1 et v2, confirmant la même base de code et le même auteur
• Chemin de dépôt invariant : C:\Users\Public\Music\ via RDP — présent dans les 4 versions
• Unhooking EDR : modification de ntdll.dll en PAGE_READWRITE dans toutes les versions ; syscalls directs depuis mémoire non-backée uniquement en v1/v1.5
• Flip d’architecture : x86 (v1/v1.5) → x64 (v2) → x86 (v3), potentiellement pour contourner les hooks EDR sous WOW64
• AMSI/WLDP : chargés depuis mémoire non-backée en v1/v1.5/v2, complètement absents en v3
• GUID hardcodé dans inf_g.dll : E8B10161-0849-4984-A6BF-3D1B267615CC permettant de déchiffrer data.zip
• Géofencing en-US : vérification de HKLM\SYSTEM\ControlSet001\Control\Nls\CustomLocale\en-US dans toutes les versions
• Chaîne de détection universelle : modification ntdll → VEH handler → mémoire RWX → vérification registre en-US

🧩 Connexion DPRK

La compilation de v3 en novembre 2024 coïncide avec la confirmation de la collaboration entre Jumpy Pisces (Andariel) et Play Ransomware en tant qu’initial access broker (octobre 2024). L’architecture allégée et stageable de v3 est cohérente avec les contraintes opérationnelles d’un nouveau partenaire étatique.

📄 Nature de l’article

Il s’agit d’une analyse technique approfondie basée sur l’exécution sandbox des quatre échantillons, visant à documenter l’évolution de Grixba et à fournir des indicateurs de détection durables aux équipes CTI et défense.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Play Ransomware (cybercriminal) —
• Andariel (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1082 — System Information Discovery (Discovery)
• T1083 — File and Directory Discovery (Discovery)
• T1518 — Software Discovery (Discovery)
• T1518.001 — Software Discovery: Security Software Discovery (Discovery)
• T1049 — System Network Connections Discovery (Discovery)
• T1016 — System Network Configuration Discovery (Discovery)
• T1087 — Account Discovery (Discovery)
• T1047 — Windows Management Instrumentation (Execution)
• T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
• T1560.001 — Archive Collected Data: Archive via Utility (Collection)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1055 — Process Injection (Defense Evasion)
• T1112 — Modify Registry (Defense Evasion)
• T1005 — Data from Local System (Collection)
• T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
• T1033 — System Owner/User Discovery (Discovery)
• T1057 — Process Discovery (Discovery)
• T1614 — System Location Discovery (Discovery)

IOC

• IPv4 : 84.239.41.12 — AbuseIPDB · VT · ThreatFox
• SHA256 : 453257c3494addafb39cb6815862403e827947a1e7737eb8168cd10522465deb — VT · MalwareBazaar
• SHA256 : c59f3c8d61d940b56436c14bc148c1fe98862921b8f7bad97fbc96b31d71193c — VT · MalwareBazaar
• SHA256 : f8810179ab033a9b79cd7006c1a74fbcde6ed0451c92fbb8c7ce15b52499353a — VT · MalwareBazaar
• SHA256 : 3621468d188d4c3e2c6dfe3e9ddcfe3894701666bad918bc195aba0c44e46e94 — VT · MalwareBazaar
• Fichiers : GT_NET.exe
• Fichiers : Gt_net.exe
• Fichiers : inf_g.dll
• Fichiers : data.dat
• Fichiers : data.zip
• Fichiers : export.zip
• Fichiers : ExportData.db
• Fichiers : alive.csv
• Fichiers : soft.csv
• Fichiers : users.csv
• Fichiers : wm.csv
• Fichiers : remote_svc.csv
• Fichiers : cached_RDP.csv
• Fichiers : mount.csv
• Fichiers : all_soft.csv
• Chemins : C:\Users\Public\Music\

Malware / Outils

• Grixba (stealer)
• Costura (tool)

🟢 Indice de vérification factuelle : 65/100 (haute)

• ⬜ theravenfile.com — source non référencée (0pts)
• ✅ 33958 chars — texte complet (15pts)
• ✅ 21 IOCs dont des hashes (15pts)
• ✅ 4/4 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, VirusTotal) (15pts)
• ✅ 22 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ✅ acteur(s) identifié(s) : Play Ransomware, Andariel (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 84.239.41.12 (ip) → VT (5/91 détections)
• 453257c3494addaf… (sha256) → VT (49/75 détections)
• c59f3c8d61d940b5… (sha256) → VT (45/76 détections)
• f8810179ab033a9b… (sha256) → VT (31/76 détections)

🔗 Source originale : https://theravenfile.com/2026/06/08/decoding-grixba-a-play-ransomware-scanner/