ErrTraffic : analyse d'un framework ClickFix MaaS exploitant EtherHiding sur WordPress

🔍 Contexte

Publié le 16 juin 2026 par Sekoia TDR (Jeremy Scion et Quentin Bourgue), cet article est la version publique d’un rapport privé distribué aux clients le 2 juin 2026. Il documente en profondeur le framework ErrTraffic, un outil de distribution de malwares opéré sous modèle Malware-as-a-Service (MaaS).

🧩 Description du framework ErrTraffic

ErrTraffic est un framework JavaScript injecté dans des sites WordPress compromis pour afficher des leurres ClickFix (faux BSOD, reCAPTCHA, Cloudflare Turnstile) et distribuer des malwares aux visiteurs. Il intègre un Traffic Distribution System (TDS) avec :

• Géofiltrage et ciblage par OS (Windows, macOS)
• Chiffrement RC4 des communications C2
• Technique EtherHiding (Dead Drop Resolver via smart contracts Polygon) pour masquer l’infrastructure C2
• Plugin WordPress malveillant facilitant le déploiement
• Panel d’administration pour gérer les payloads et statistiques

💰 Opérations MaaS sur Exploit.IN

L’acteur LenAI commercialise ErrTraffic depuis au moins décembre 2025 sur le forum Exploit.IN et Telegram :

• Abonnement mensuel : de 300 $ à 380 $
• Code source : de 1 500 $ (janvier 2026) à 4 500 $ (avec mises à jour à vie, avril 2026)
• Accès limité à un nombre restreint de clients (système de file d’attente)
• Essai gratuit d’un jour et remboursement sous 24h

Onze participants identifiés dans le thread Exploit.IN : Ghost_devil, Dummy, mudila, willard, MasonDex, yayo, Jesse_D, Vasyavasilyev, Specta666, mtd, tope.

🗂️ Deux clusters ErrTraffic identifiés

Cluster “Analytics” :

• Smart contract unique : 0x08207B087F61d7e95E441E15fd6d40BEfd6eD308
• TLDs : .cfd, .club, .click, .cyou, .lat, .sbs, .shop, .xyz
• Endpoint : /cf.js
• Payload exclusif : Vidar infostealer (avril-mai 2026)
• Backdoor PHP spécifique (MU-Plugin session-manager.php)

Cluster “Beer” :

• Multiples smart contracts Polygon via Quicknode
• TLD dominant : .beer
• Endpoint : /api/css.js puis /api/index.php
• Payloads variés : Vidar, Stealc, Remus, Salat, SmokeLoader, DanaBot, HijackLoader
• Plusieurs backdoors PHP distincts

📋 Campagnes documentées

Campagne “Analytics” :

• Compromission initiale le 7 mars 2026 via credential stuffing (proxy résidentiel)
• Accès administrateur WordPress via credentials volés (infostealer)
• Exploitation tentée de CVE-2020-25213 (WP File Manager)
• Backdoor session-manager.php : webshell multi-canaux, harvesting de credentials, skimmer WooCommerce, anti-détection (Wordfence, Sucuri, WPScan, Nessus, Nikto, Burp)
• Exfiltration vers webanalytics-cdn[.]sbs

Campagne “Bintang” :

• Smart contract : 0xb36482fE794B895695914779Db3909b471D1aA43
• Payload final : Vidar infostealer
• Compromission initiale le 5 mars 2026 (credentials volés en octobre 2025)
• Toolkit avec références indonésiennes (“karma-syndicate”, “BlackDragon”)
• Attribution probable à l’acteur tope (alias cybershell_master, Telegram @cybershell_master)

Campagnes d’usurpation d’IA :

• antigravity[.]study : usurpe Google Antigravity, leurre BSOD, smart contract 0x5b7F9C87773fFc7FAbEFcBeDFe3527BCE98C328, payload DanaBot via MSI
• chatgpt-web[.]vip : usurpe ChatGPT, leurre reCAPTCHA, smart contract 0x53ffB04Ef13Bc4Cb12CE8Ac7b9532C254338dC3e, payload HijackLoader (archive >120 MB, binary bloating)

🎯 Hypothèses d’affiliation

• Cluster “Beer” = infrastructure MaaS opérée par LenAI, chaque affilié utilisant son propre smart contract
• Cluster “Analytics” = acteur unique ayant acheté le code source d’une version ancienne d’ErrTraffic
• Campagne “Bintang” = attribuée avec haute confiance à tope/cybershell_master, acteur anglophone d’Asie du Sud-Est

📄 Type d’article

Il s’agit d’une publication de recherche technique produite par l’équipe TDR de Sekoia, visant à documenter exhaustivement le framework ErrTraffic, ses clusters, ses campagnes associées et ses opérateurs pour alimenter les plateformes CTI et permettre la détection.

🧠 TTPs et IOCs détectés

Acteurs de menace

• LenAI (cybercriminal) —
• tope (cybercriminal) —
• mtd (cybercriminal) —

TTP

• T1566 — Phishing (Initial Access)
• T1078 — Valid Accounts (Initial Access)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1027.001 — Obfuscated Files or Information: Binary Padding (Defense Evasion)
• T1102 — Web Service (Command and Control)
• T1568 — Dynamic Resolution (Command and Control)
• T1190 — Exploit Public-Facing Application (Initial Access)
• T1505.003 — Server Software Component: Web Shell (Persistence)
• T1176 — Browser Extensions (Persistence)
• T1056.001 — Input Capture: Keylogging (Collection)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1588.001 — Obtain Capabilities: Malware (Resource Development)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1112 — Modify Registry (Defense Evasion)
• T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
• T1574 — Hijack Execution Flow (Persistence)
• T1608.004 — Stage Capabilities: Drive-by Target (Resource Development)

IOC

• IPv4 : 96.178.187.175 — AbuseIPDB · VT · ThreatFox
• IPv4 : 96.181.156.219 — AbuseIPDB · VT · ThreatFox
• IPv4 : 172.59.242.93 — AbuseIPDB · VT · ThreatFox
• IPv4 : 68.60.174.238 — AbuseIPDB · VT · ThreatFox
• Domaines : webanalytics-cdn.sbs — VT · URLhaus · ThreatFox
• Domaines : antigravity.study — VT · URLhaus · ThreatFox
• Domaines : chatgpt-web.vip — VT · URLhaus · ThreatFox
• Domaines : defi-xstocks.vip — VT · URLhaus · ThreatFox
• Domaines : llc-image-ico.click — VT · URLhaus · ThreatFox
• URLs : https://llc-image-ico.click/api/css.js — URLhaus
• CVEs : CVE-2020-25213 — NVD · CIRCL
• Fichiers : session-manager.php
• Fichiers : css.js
• Chemins : wp-content/mu-plugins/session-manager.php

Malware / Outils

• ErrTraffic (framework)
• Vidar (stealer)
• Stealc (stealer)
• Remus (stealer)
• Salat (stealer)
• SmokeLoader (loader)
• DanaBot (botnet)
• HijackLoader (loader)

---

🟢 Indice de vérification factuelle : 70/100 (haute)

• ⬜ blog.sekoia.io — source non référencée (0pts)
• ✅ 50935 chars — texte complet (fulltext extrait) (15pts)
• ✅ 14 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 3/7 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 20 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : LenAI, tope, mtd (5pts)
• ⬜ 0/1 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

• webanalytics-cdn.sbs (domain) → VT (25/91 détections) + ThreatFox (Unknown malware)
• antigravity.study (domain) → VT (5/91 détections) + ThreatFox (Unknown malware)
• chatgpt-web.vip (domain) → VT (18/91 détections) + ThreatFox (Unknown malware)

---

🔗 Source originale : https://blog.sekoia.io/unveiling-errtraffic-inside-a-growing-clickfix-malware-distribution-framework/