🔍 Contexte
Le 9 juin 2026, Zscaler ThreatLabz publie une analyse technique approfondie d’une nouvelle famille de malware baptisée MLTBackdoor, identifiée pour la première fois en mai 2026. Ce malware est vraisemblablement utilisé par un acteur lié aux ransomwares pour établir un point d’ancrage et faciliter le mouvement latéral.
🎯 Vecteur d’infection
L’infection débute par une chaîne ClickFix hébergée sur une page web à thème automobile. La victime est incitée à copier-coller et exécuter une commande qui :
- Télécharge une archive compressée depuis un domaine généré par le DGA du jour
- Extrait deux fichiers :
data.bin(payload RC4 chiffré) etendpointdlp.dll(loader) - Déchiffre et exécute MLTBackdoor, qui se sideload via l’exécutable légitime signé Microsoft Defender
mpextms.exe
🛡️ Obfuscation et anti-analyse
MLTBackdoor emploie plusieurs techniques d’obfuscation compilées via un obfuscateur LLVM :
- Mixed Boolean-Arithmetic (MBA) : ~95% du code est constitué de calculs superflus
- Control Flow Flattening (CFF) : les fonctions sont transformées en machines à états complexes avec XOR sur les valeurs d’état
- Stack strings : les chaînes sont construites octet par octet à l’exécution
- API hashing DJB2 : résolution dynamique de toutes les APIs Win32, syscalls et symboles BOF
- Indirect system calls (style Hell’s Gate) : 31 fonctions
Nt*résolues et appelées via trampoline pour contourner les hooks
Le malware effectue 10 vérifications anti-analyse agrégées en un bitmask envoyé au C2 (hyperviseur, timing RDTSC, debugger, processus suspects, titres de fenêtres, drivers sandbox, RAM, CPU, uptime) sans interrompre l’exécution.
⚙️ Capacités
Commandes intégrées : download, upload, ls, delete, rename, mkdir.
La fonctionnalité principale est un chargeur BOF (Beacon Object File) compatible Cobalt Strike, qui permet d’étendre dynamiquement les capacités. Il supporte 7 imports Beacon standard et 19 wrappers de syscalls indirects supplémentaires (BeaconNtCreateFile, BeaconNtAllocateVirtualMemory, etc.).
🌐 Communication réseau
- Protocole binaire chiffré personnalisé sur TLS port 443
- Path fixe
/api/v1/telemetry, User-AgentMicrosoft-Delivery-Optimization/10.1 - Échange de clés ECDH P-256 → secret partagé → clé de session AES-256-GCM avec nonce 12 octets aléatoire
- Magic bytes du protocole :
0x014D4C54(\x01MLT) - DGA déterministe basé sur la date (un domaine par jour), utilisé en backup si les C2 hardcodés sont inaccessibles
📋 Type d’article
Il s’agit d’une analyse technique publiée par l’équipe de recherche Zscaler ThreatLabz, dont le but est de documenter en détail le fonctionnement interne de MLTBackdoor pour permettre la détection et la compréhension de cette menace émergente.
🧠 TTPs et IOCs détectés
TTP
- T1566 — Phishing (Initial Access)
- T1204.002 — User Execution: Malicious File (Execution)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1027.002 — Obfuscated Files or Information: Software Packing (Defense Evasion)
- T1055 — Process Injection (Defense Evasion)
- T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
- T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
- T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
- T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
- T1497.003 — Virtualization/Sandbox Evasion: Time Based Evasion (Defense Evasion)
- T1083 — File and Directory Discovery (Discovery)
- T1057 — Process Discovery (Discovery)
- T1082 — System Information Discovery (Discovery)
- T1568.002 — Dynamic Resolution: Domain Generation Algorithms (Command and Control)
- T1573.002 — Encrypted Channel: Asymmetric Cryptography (Command and Control)
- T1571 — Non-Standard Port (Command and Control)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1105 — Ingress Tool Transfer (Command and Control)
- T1106 — Native API (Execution)
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
IOC
- Domaines :
hrs2y15sungu.com— VT · URLhaus · ThreatFox - Domaines :
carrolc.com— VT · URLhaus · ThreatFox - Domaines :
cwrtwright.com— VT · URLhaus · ThreatFox - Domaines :
thomphon.com— VT · URLhaus · ThreatFox - Domaines :
powwowski.com— VT · URLhaus · ThreatFox - URLs :
https://hrs2y15sungu.com/d— URLhaus - URLs :
http://powwowski.com/payloads/update.zip— URLhaus - SHA256 :
1e41c7bfaa6aa3b93b6cc024274a10e33f3e12fe7c98c1db387ef8927f9d1984— VT · MalwareBazaar - SHA256 :
46b2155c1e71b840d4b7a2e94410b89a61e2446523e6f497206d402eb02e0e93— VT · MalwareBazaar - SHA256 :
9e52cc90cff150abe21f0a6440e86e0a99ff383b81061b96def8948e21d0ac66— VT · MalwareBazaar - SHA256 :
ced6b0f44410f6133ad63b61e04613a8b56cc3338d7b34497540e9541163e7ec— VT · MalwareBazaar - SHA256 :
1d09357b6a096fdc35cd5c873eed15665d6b3c879d20c8cf01e6bca0005512cf— VT · MalwareBazaar - SHA256 :
2cd88d5280a61714836f5f07a16df190911c5b952af2998dbbcda910b3b1c494— VT · MalwareBazaar - SHA256 :
d34e4038c5c80728f9648ba84833f69bc1ccea82e2e8e748b7b7f02fb687b92b— VT · MalwareBazaar - Fichiers :
data.bin - Fichiers :
endpointdlp.dll - Fichiers :
mpextms.exe - Chemins :
C:\users\AppData\Local\Temp\x\endpointdlp.dll
Malware / Outils
- MLTBackdoor (backdoor)
- Cobalt Strike (framework)
🟢 Indice de vérification factuelle : 90/100 (haute)
- ✅ zscaler.com — source reconnue (liste interne) (20pts)
- ✅ 23483 chars — texte complet (fulltext extrait) (15pts)
- ✅ 18 IOCs dont des hashes (15pts)
- ✅ 6/8 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 20 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
1e41c7bfaa6aa3b9…(sha256) → VT (43/76 détections)46b2155c1e71b840…(sha256) → VT (36/76 détections)9e52cc90cff150ab…(sha256) → VT (42/76 détections)hrs2y15sungu.com(domain) → VT (15/91 détections)carrolc.com(domain) → VT (19/91 détections) + ThreatFox (Havoc)
🔗 Source originale : https://www.zscaler.com/blogs/security-research/technical-analysis-mltbackdoor