🔍 Contexte : Le 16 juin 2026, Cato CTRL (Vitaly Simonovich) publie une analyse post-incident détaillée de l’opération « Poisson », couvrant la période du 30 mars au 1er mai 2026. L’analyse repose sur l’historique complet des commandes et la télémétrie capturée en temps réel.
🎯 Cibles : Une petite entreprise française du secteur automobile et quatre individus français. Les victimes sont localisées en Alsace (département 68) et en Val-d’Oise (département 95).
⚙️ Chaîne d’attaque :
- Stager VBScript chiffré AES (
sys.vbs, 1,1 KB) avec sleep de 120 secondes pour évasion sandbox, déchiffrant un payload PowerShell - DLL .NET multi-couches (
senti.dll, 3,1 MB) encodant du shellcode sous forme de 207 813 mots anglais, wrappant un agent Havoc Demon via un loader réflectif style Donut (zéro fichier sur disque) - Élévation de privilèges UAC via
Start-Process -Verb RunAs(non silencieux, nécessite un clic utilisateur) - Persistance : tâche planifiée
TaskAdmin1, raccourcisys.lnkdans le dossier Startup, injection de shellcode dansExplorer.EXE - Keylogger Python (
KeyL.zip, 70 lignes, pynput) stockant les frappes localement, récupérées manuellement via Havoc (~3 000 caractères par session) - RustDesk compilé sur mesure comme canal de secours
- OpenSSH Server + Tailscale VPN installés le jour 8 (7 avril) pour une persistance indépendante du C2
🌐 Infrastructure : Serveur Havoc C2 sur IONOS Berlin (217.154.217.139), redirecteur C2 (217.154.162.45), domaine DuckDNS (wawsenti.duckdns.org), quatre buckets Backblaze B2 (tier gratuit). Le C2 est tombé le 8 avril et est revenu le 26 avril — l’accès via Tailscale/SSH a survécu pendant 18 jours.
🔑 Erreurs OPSEC de l’opérateur : fuite du répertoire home Linux (/home/avenger/Desktop/), playbook SSH complet et clés victimes laissés sur un bucket public, noms de buckets traçables au pseudo, fichier de test contenant ses propres frappes (Stikou68!!!).
❓ Point ouvert : Le 30 avril, l’opérateur a exécuté WinFormsApp1.exe (issu de Thales.zip) et Thal.exe (148 MB, .NET 8.0) pendant 32 minutes non surveillées sur la machine Victim 3, avant de supprimer 17 fichiers. Le contenu et l’action de ces applications restent indéterminés.
📄 Type d’article : Publication de recherche CTI avec analyse technique approfondie, visant à documenter les TTPs d’un acteur junior et à démontrer que la persistance VPN-mesh est déjà opérationnelle dans des intrusions réelles.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Poisson (cybercriminal) —
TTP
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
- T1055.001 — Process Injection: Dynamic-link Library Injection (Defense Evasion)
- T1055 — Process Injection (Defense Evasion)
- T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
- T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
- T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
- T1056.001 — Input Capture: Keylogging (Collection)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
- T1105 — Ingress Tool Transfer (Command and Control)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1572 — Protocol Tunneling (Command and Control)
- T1021.004 — Remote Services: SSH (Lateral Movement)
- T1090 — Proxy (Command and Control)
- T1113 — Screen Capture (Collection)
- T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
- T1497.003 — Virtualization/Sandbox Evasion: Time Based Evasion (Defense Evasion)
- T1219 — Remote Access Software (Command and Control)
- T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
IOC
- IPv4 :
217.154.217.139— AbuseIPDB · VT · ThreatFox - IPv4 :
217.154.162.45— AbuseIPDB · VT · ThreatFox - Domaines :
wawsenti.duckdns.org— VT · URLhaus · ThreatFox - URLs :
https://pois43.s3.eu-central-003.backblazeb2.com— URLhaus - URLs :
https://w456w5.s3.eu-central-003.backblazeb2.com— URLhaus - URLs :
https://sentiwaw.s3.eu-central-003.backblazeb2.com— URLhaus - SHA256 :
aa7ea19e34567458b4ee66a7cd274181764984bf32123f756a7fdc64d5857b31— VT · MalwareBazaar - SHA256 :
3b7642b0f84e83a36334c608655c6cb7aae774839a6a3488526b853d89830a60— VT · MalwareBazaar - SHA256 :
c79091ceae7cd592fc08e4854cda7c1182af762b6b126371cc604debdc995fc7— VT · MalwareBazaar - SHA256 :
f06e7e1a4363a01ba2a4fee2e28abdd623abf4194bda373f23ff0e151b5c2b45— VT · MalwareBazaar - SHA256 :
1f00fd604bb18bbe3081f9ce8d741c4029d2a2125eb8888ac4e0d955938059d6— VT · MalwareBazaar - SHA256 :
291cb1fd0f2709b4457447cbb87adacf5c36c1bcb0f8754524024d44174bb195— VT · MalwareBazaar - SHA256 :
0378a5ef51b008aa2d6b76bd44a0bf061339bc3b737a188ec82029444d4d18fe— VT · MalwareBazaar - Fichiers :
sys.vbs - Fichiers :
senti.dll - Fichiers :
RustCustom.zip - Fichiers :
SSH.zip - Fichiers :
KeyL.zip - Fichiers :
RevS.ps1 - Fichiers :
Thal.exe - Fichiers :
Thales.zip - Fichiers :
WinFormsApp1.exe - Fichiers :
sys.lnk - Chemins :
/home/avenger/Desktop/
Malware / Outils
- Havoc (framework)
- Havoc Demon (rat)
- senti.dll (loader)
- RustDesk (tool)
- KeyL (stealer)
- OpenSSH (tool)
- Tailscale (tool)
- Thal.exe (other)
🟢 Indice de vérification factuelle : 95/100 (haute)
- ✅ catonetworks.com — source reconnue (Rösti community) (20pts)
- ✅ 20407 chars — texte complet (fulltext extrait) (15pts)
- ✅ 24 IOCs dont des hashes (15pts)
- ✅ 5/9 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 20 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : Poisson (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
217.154.217.139(ip) → VT (10/91 détections) + ThreatFox (Havoc)217.154.162.45(ip) → VT (12/91 détections) + ThreatFox (Havoc)aa7ea19e34567458…(sha256) → VT (14/76 détections)3b7642b0f84e83a3…(sha256) → VT (29/76 détections)wawsenti.duckdns.org(domain) → VT (17/91 détections) + ThreatFox (Havoc)
🔗 Source originale : https://www.catonetworks.com/blog/cato-ctrl-operation-poisson-analyzing-a-cybercriminals-entire-operation/