🔍 Contexte : Le 17 juin 2026, Rapid7 publie une analyse technique détaillée d’une campagne attribuée au groupe Dropping Elephant, découverte lors d’une chasse proactive aux menaces. L’article documente l’intégralité de la chaîne d’infection, de l’accès initial jusqu’au RAT final en mémoire.
🎯 Vecteur initial : La campagne débute par un fichier LNK malveillant (GRES3001.lnk) déguisé en PDF, utilisant un leurre thématique lié au secteur énergétique chinois — un contrat de réception pour le projet GRES-3 portant sur des pompes de circulation d’eau de mer industrielles. L’ouverture du raccourci déclenche conhost.exe qui lance un téléchargeur PowerShell obfusqué se connectant au serveur de staging chinagreenenergy[.]org.
📦 Staging et persistance : Les fichiers malveillants sont téléchargés avec des extensions factices (.ezxzez, .cypyly, .dzlzlz) puis renommés pour reconstituer Fondue.exe, APPWIZ.cpl, msvcp140.dll, vcruntime140.dll et editor.dat. Une tâche planifiée nommée GoogleErrorReport est créée pour exécuter Fondue.exe toutes les minutes. Le raccourci original est supprimé.
⚙️ Chaîne de chargement :
- Stage 3 :
Fondue.exe(binaire Microsoft légitime) charge latéralementAPPWIZ.cpl(DLL malveillante, nom internebluetooth_callback.dll) via l’exportRunFODW. - Stage 4 :
APPWIZ.cplliteditor.dat, le décode en Base64 puis le déchiffre avec AES-256-CBC (clé et IV hardcodés). Le résultat est un blob Donut shellcode mappé en mémoire RWX viaVirtualAllocet exécuté via callbackEnumUILanguagesW. - Donut utilise Chaskey-CTR pour protéger le PE embarqué, patche AMSI, WLDP et ETW dans le processus courant, puis mappe le RAT final sans écriture disque.
🦠 RAT final : Implant natif 32 bits C++ (editor.extracted.exe, SHA-256 : 7099c33...), entièrement en mémoire. Caractéristiques :
- Résolution dynamique d’API via
LoadLibrary/GetProcAddress - Salsa20 pour la protection des champs C2 (clé 32 octets hardcodée, nonce 8 octets)
- Mutex
kshdkfhskdfjkhsdkfhsjkdfhkjanti-réinfection - Vérifications anti-analyse : CPUID, artefacts VM, liste noire de processus, géolocalisation IP
- C2 :
gcl-power[.]orgsur port 443 (HTTPS), tokenRRn926EmIRfm9IlJyP1yVO2, sentinel idleMMMMM==YYYYY - Fingerprinting hôte : username, nom machine, bot ID dérivé à runtime, version OS, IP publique, pays, liste de processus
📡 Capacités opérateur (5 handlers confirmés) :
fl: listage récursif de fichiersdw: téléchargement et exécutionsc: capture d’écran via BitBlt/WICcmx: exécution shell viacmd.exe /c chcp 65001uf: exfiltration de fichiers
🔗 Attribution : Comparaison avec un échantillon de référence Dropping Elephant documenté par Arctic Wolf en juillet 2025 (SHA-256 : 8b6acc08...). BinDiff donne 8,6% de similarité (bruit dû au control-flow flattening). Diaphora identifie 4 recouvrements fonctionnels : structure des handlers de commandes, logique de capture d’écran, flux WININET, pattern d’exécution shell. La chaîne de livraison (LNK, PowerShell, tâche planifiée, DLL side-loading) est cohérente avec les campagnes Dropping Elephant antérieures.
📄 Nature de l’article : Publication de recherche technique de Rapid7 visant à documenter une évolution significative du tooling Dropping Elephant et à fournir des indicateurs comportementaux et IOCs exploitables pour la détection.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Dropping Elephant (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
TTP
- T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
- T1204.002 — User Execution: Malicious File (Execution)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
- T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
- T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1620 — Reflective Code Loading (Defense Evasion)
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
- T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
- T1057 — Process Discovery (Discovery)
- T1082 — System Information Discovery (Discovery)
- T1016 — System Network Configuration Discovery (Discovery)
- T1614 — System Location Discovery (Discovery)
- T1083 — File and Directory Discovery (Discovery)
- T1113 — Screen Capture (Collection)
- T1005 — Data from Local System (Collection)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1132.001 — Data Encoding: Standard Encoding (Command and Control)
- T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
- T1105 — Ingress Tool Transfer (Command and Control)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
IOC
- Domaines :
chinagreenenergy.org— VT · URLhaus · ThreatFox - Domaines :
gcl-power.org— VT · URLhaus · ThreatFox - Domaines :
api.ipify.org— VT · URLhaus · ThreatFox - Domaines :
ip2c.org— VT · URLhaus · ThreatFox - URLs :
https://chinagreenenergy.org/doc/35566/SXxls— URLhaus - URLs :
https://chinagreenenergy.org/doc/list/load-list/dfe87bbc-53e0-489f-a9e6-ab8f4be47cb9— URLhaus - URLs :
https://chinagreenenergy.org/doc/list/load-list/8daaa3e4-c85e-40c1-a2a2-94679e94c417— URLhaus - URLs :
https://chinagreenenergy.org/doc/list/load-list/ecdc6b92-62b5-4acd-99f2-af09902938e1— URLhaus - URLs :
https://chinagreenenergy.org/doc/list/load-list/e7477b17-45f0-420b-b2b1-811d4c1556ea— URLhaus - URLs :
https://chinagreenenergy.org/doc/list/load-list/000bd4a8-814d-414c-8be8-f0c77a9c7e1e— URLhaus - SHA256 :
a8ecbd9c0920644ca49a0a0e0e59600d19ce782a3b42ad7763e9693d7c91ead2— VT · MalwareBazaar - SHA256 :
56d656d684077e7b3231393f5464447cdc8eea81b6415c5f010bc52f0c8cb317— VT · MalwareBazaar - SHA256 :
b58351ead08db413ca499cfeb1b1091ed8bfd68f4089605e452fa01ed46f42b1— VT · MalwareBazaar - SHA256 :
914da75a4ad6d70db856a2bc318d8828f28894622f017ee78d470b4794faafa6— VT · MalwareBazaar - SHA256 :
718812adb0d669eea9606432202371e358c7de6cdeafeddad222c36ae0d3f263— VT · MalwareBazaar - SHA256 :
09d1e604e8cdd06176fcc3d3698861be20638a4391f9f2d9e23f868c1576ca94— VT · MalwareBazaar - SHA256 :
a5e448af73b0ff6b6fcfe6ef7808120e1fd7e5c4c9b4edd68e1c980e5ea3406b— VT · MalwareBazaar - SHA256 :
ecab0e747bff16a1163bbd9bb494e68dd4d7ca655ac7279bd4dd73221f7df57c— VT · MalwareBazaar - SHA256 :
7099c33933716c00c1f4bdb0281c230b981c76b23d7d1c83abc6f58968267d54— VT · MalwareBazaar - SHA256 :
8b6acc087e403b913254dd7d99f09136dc54fa45cf3029a8566151120d34d1c2— VT · MalwareBazaar - Fichiers :
GRES3001.lnk - Fichiers :
GRES3001.pdf - Fichiers :
Fondue.exe - Fichiers :
APPWIZ.cpl - Fichiers :
editor.dat - Fichiers :
msvcp140.dll - Fichiers :
vcruntime140.dll - Fichiers :
bluetooth_callback.dll - Fichiers :
editor.decrypted.bin - Fichiers :
editor.extracted.exe - Chemins :
C:\Users\Public\Fondue.exe - Chemins :
C:\Users\Public\APPWIZ.cpl - Chemins :
C:\Users\Public\msvcp140.dll - Chemins :
C:\Users\Public\vcruntime140.dll - Chemins :
C:\Users\Public\GRES3001.pdf - Chemins :
C:\Windows\Tasks\editor.dat
Malware / Outils
- Dropping Elephant RAT (rat)
- Donut (loader)
- APPWIZ.cpl (bluetooth_callback.dll) (loader)
🟢 Indice de vérification factuelle : 92/100 (haute)
- ✅ rapid7.com — source reconnue (liste interne) (20pts)
- ✅ 23746 chars — texte complet (fulltext extrait) (15pts)
- ✅ 36 IOCs dont des hashes (15pts)
- ✅ 2/9 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (12pts)
- ✅ 23 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : Dropping Elephant (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
chinagreenenergy.org(domain) → VT (10/91 détections)gcl-power.org(domain) → VT (4/91 détections)
🔗 Source originale : https://www.rapid7.com/blog/post/tr-malware-tracking-dropping-elephant-tradecraft-china-themed-loader-chain/