🔍 Contexte
Publié le 18 juin 2026 par la Nokia Deepfield Emergency Response Team (ERT), ce rapport documente l’analyse statique du client Windows de RoboVPN, un VPN commercial gratuit édité par Cyberkick Ltd. L’analyse repose exclusivement sur le désassemblage statique (MSI, .NET, ILSpy, Ghidra) sans exécution de malware.
🧩 Composants identifiés
L’installateur MSI contient un bundle .NET 6 (57 assemblies compressées) et quatre DLL natives x64. Parmi les dépendances NuGet déclarées comme routinières figure NeunativeNG 8.0.36, un SDK proxy résidentiel qui :
- Enregistre la machine auprès du directeur lb.gmslb.net:443 via GET
/regdev - Reçoit une liste de serveurs relais (
sN.<front>.com:6000) - Accepte des requêtes
OpenTunnelarbitraires et relaie le trafic tiers via l’IP résidentielle de l’utilisateur
⚙️ Mécanisme d’activation inversé
Le SDK s’active uniquement quand le VPN est déconnecté ou inactif (appel OpenPeer() depuis DisconnectedDisplay()), avec un délai aléatoire de 30 à 90 minutes. La connexion VPN stoppe le proxy (ClosePeer() depuis Connect()). Ce design garantit que le trafic proxy sort toujours par l’IP résidentielle réelle de l’utilisateur, jamais par les serveurs de RoboVPN.
🔗 Connexion au backend Vo1d/Popa
gmslb.net est l’un des neuf domaines C2 codés en dur dans le plugin Popa du botnet Vo1d (~1,6 million de box Android TV compromises, XLab mars 2025). Le protocole TLS propriétaire (opcodes : Register 0x5060, OpenTunnel 0xa070, TunnelMessage 0xc000, CloseTunnel 0xcccc) est identique entre Neunative (Windows), Popanet Android (Cyberflix TV/SuperBox) et le plugin Popa de Vo1d. Les trois sont des builds différents du même SDK sur le même backend.
🌐 Infrastructure relay fleet
- ~360 relais datacenter actifs (OVH 259, GTHost 74, Hetzner 30, Akamai/Linode 7)
- 30 domaines front sur Cloudflare (deux comptes distincts : 5 + 25 domaines)
- Le directeur lb.gmslb.net résout sur 10 IPs OVHcloud
- 7 des 8 autres domaines C2 Popa sont sinkholés ; gmslb.net reste actif
⚠️ Faille de filtrage destination
Le SDK filtre les plages RFC1918 et loopback 127/8, mais omet 0.0.0.0/8 (qui mappe vers loopback sur Android/Linux) et n’a aucune blocklist de ports. Un OpenTunnel("0.0.0.0", 5555) passerait tous les contrôles et atteindrait le daemon ADB de l’appareil cible — vecteur d’accès initial documenté par Synthient.
📄 Divulgation vs comportement réel
Les CGU mentionnent un modèle “peer” avec opt-out, mais :
- Aucun bouton d’opt-out n’existe dans l’interface
OpenPeer()s’exécute inconditionnellement- Le trafic relayé dépasse le cadre “membres du réseau” vers des destinations publiques arbitraires
📌 Type d’article
Publication de recherche technique par une équipe ERT, visant à documenter l’architecture d’un SDK proxy résidentiel commercial partageant une infrastructure avec un botnet connu, avec extraction complète d’IoCs et analyse protocolaire au niveau octet.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Vo1d (cybercriminal) —
TTP
- T1583.001 — Acquire Infrastructure: Domains (Resource Development)
- T1090.002 — Proxy: External Proxy (Command and Control)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1036 — Masquerading (Defense Evasion)
- T1496 — Resource Hijacking (Impact)
- T1547 — Boot or Logon Autostart Execution (Persistence)
- T1112 — Modify Registry (Defense Evasion)
- T1219 — Remote Access Software (Command and Control)
IOC
- IPv4 :
51.38.222.163— AbuseIPDB · VT · ThreatFox - IPv4 :
51.75.62.214— AbuseIPDB · VT · ThreatFox - IPv4 :
51.75.169.138— AbuseIPDB · VT · ThreatFox - IPv4 :
51.75.169.155— AbuseIPDB · VT · ThreatFox - IPv4 :
91.134.11.137— AbuseIPDB · VT · ThreatFox - IPv4 :
91.134.98.159— AbuseIPDB · VT · ThreatFox - IPv4 :
91.134.98.229— AbuseIPDB · VT · ThreatFox - IPv4 :
145.239.29.238— AbuseIPDB · VT · ThreatFox - IPv4 :
162.19.237.9— AbuseIPDB · VT · ThreatFox - IPv4 :
162.19.239.144— AbuseIPDB · VT · ThreatFox - IPv4 :
186.190.215.121— AbuseIPDB · VT · ThreatFox - IPv4 :
172.99.188.236— AbuseIPDB · VT · ThreatFox - IPv4 :
51.178.118.130— AbuseIPDB · VT · ThreatFox - IPv4 :
51.77.236.134— AbuseIPDB · VT · ThreatFox - IPv4 :
38.114.120.39— AbuseIPDB · VT · ThreatFox - IPv4 :
117.55.203.189— AbuseIPDB · VT · ThreatFox - IPv4 :
195.178.110.204— AbuseIPDB · VT · ThreatFox - IPv4 :
83.168.110.191— AbuseIPDB · VT · ThreatFox - Domaines :
lb.gmslb.net— VT · URLhaus · ThreatFox - Domaines :
gmslb.net— VT · URLhaus · ThreatFox - Domaines :
viki-play.com— VT · URLhaus · ThreatFox - Domaines :
star-layer.com— VT · URLhaus · ThreatFox - Domaines :
byte-buff.com— VT · URLhaus · ThreatFox - Domaines :
swift-zip.com— VT · URLhaus · ThreatFox - Domaines :
yoursfind.com— VT · URLhaus · ThreatFox - Domaines :
sdkmob.org— VT · URLhaus · ThreatFox - Domaines :
novel-layer.com— VT · URLhaus · ThreatFox - Domaines :
zen-tava.com— VT · URLhaus · ThreatFox - Domaines :
house-spirit.com— VT · URLhaus · ThreatFox - Domaines :
byte-armor.com— VT · URLhaus · ThreatFox - Domaines :
link-flux.com— VT · URLhaus · ThreatFox - Domaines :
tera-home.com— VT · URLhaus · ThreatFox - Domaines :
pulse-vol.com— VT · URLhaus · ThreatFox - Domaines :
net-echo.com— VT · URLhaus · ThreatFox - Domaines :
shield-sky.com— VT · URLhaus · ThreatFox - Domaines :
world2trust.com— VT · URLhaus · ThreatFox - Domaines :
pixellog.io— VT · URLhaus · ThreatFox - Domaines :
cool-horizon.com— VT · URLhaus · ThreatFox - Domaines :
ginuary.com— VT · URLhaus · ThreatFox - Domaines :
fast-mob.com— VT · URLhaus · ThreatFox - Domaines :
litics-net.com— VT · URLhaus · ThreatFox - Domaines :
nova-lan.com— VT · URLhaus · ThreatFox - Domaines :
sky-borders.com— VT · URLhaus · ThreatFox - Domaines :
grid-push.com— VT · URLhaus · ThreatFox - Domaines :
nice-protect.com— VT · URLhaus · ThreatFox - Domaines :
flexible-networks.com— VT · URLhaus · ThreatFox - Domaines :
worker-net.com— VT · URLhaus · ThreatFox - Domaines :
earth2trust.com— VT · URLhaus · ThreatFox - Domaines :
zync-stream.com— VT · URLhaus · ThreatFox - Domaines :
robovpn.com— VT · URLhaus · ThreatFox - Domaines :
download.robovpn.com— VT · URLhaus · ThreatFox - URLs :
https://lb.gmslb.net/regdev— URLhaus - SHA256 :
ea40641a086bfa4e077b066e2f2e92e6c5d777153aea2bb5405382b8b513ae0d— VT · MalwareBazaar - SHA256 :
6f686ba628de3bf1ebfb8504e2e966334b02505c546bb9d2ad020f5f5d1d01b7— VT · MalwareBazaar - SHA256 :
74beab8ae664958742f6c5d33c1a50bd06d4137147e42c0b94b7be2f8ec98ebb— VT · MalwareBazaar - SHA256 :
4098f6a407b7dd8ddb3a30b225255ba9e9035136e6eabfde208242d73c88ecb5— VT · MalwareBazaar - SHA256 :
d7d37ce6f7bdaf6e7ddd6e3a89ff930b79672f30378367121fcee6cc61f2334c— VT · MalwareBazaar - Fichiers :
RoboVPN.msi - Fichiers :
RoboVPN.dll - Fichiers :
RoboVPN.Connector.Core.dll - Fichiers :
NeunativeNG.dll - Fichiers :
NeunativeWin.dll - Fichiers :
NeunativeWin.pdb - Chemins :
%AppData%\NeuNative.log - Chemins :
%AppData%\logNeunative.txt - Chemins :
HKCU\Software\Neunative - Chemins :
\\VBOXSVR\shared\android-native-sdk\NeunativeWin\NeunativeWin\build\x64\Release\NeunativeWin.pdb
Malware / Outils
- Neunative (other)
- Popa (botnet)
- Vo1d (botnet)
- Popanet (other)
- RoboVPN (other)
🟢 Indice de vérification factuelle : 68/100 (haute)
- ⬜ github.com — source non référencée (0pts)
- ✅ 36776 chars — texte complet (fulltext extrait) (15pts)
- ✅ 67 IOCs dont des hashes (15pts)
- ✅ 1/10 IOC(s) confirmé(s) (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (8pts)
- ✅ 8 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : Vo1d (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
lb.gmslb.net(domain) → VT (3/91 détections)
🔗 Source originale : https://github.com/deepfield/public-research/blob/main/reports/2026-06-18-robovpn-neunative.md