🔍 Contexte

Publié le 19 juin 2026 par le Seqrite Threat Research Unit (TRU), cet article présente l’analyse technique d’une campagne de malware active ciblant le secteur de la santé en Thaïlande. La fenêtre opérationnelle observée s’étend du 7 avril 2026 au 3 juin 2026, soit environ dix semaines.

🎯 Cibles identifiées

La campagne vise spécifiquement :

  • Le personnel du Ministère de la Santé et les équipes d’approvisionnement en équipements médicaux
  • Le personnel administratif hospitalier via de faux documents d’admission de patients
  • Le personnel de radiologie et de cliniques dentaires via de faux dossiers médicaux
  • Les départements cliniques et radiologiques via de faux résultats de scanner CT
  • Les équipes de la chaîne d’approvisionnement médicale via des documents d’approbation du Ministère de la Santé

⚙️ Chaîne d’infection

La chaîne d’infection suit un schéma en cinq étapes :

  1. Stage 1 : Livraison via une archive RAR contenant un script BAT obfusqué (ex: Health_Ministry_Approved_Equipment_2026.bat) qui décode et exécute un payload via PowerShell
  2. Stage 2 : Exécution d’un loader BAT obfusqué avec Rouki (payload.bat) qui télécharge des composants supplémentaires depuis GitHub
  3. Stage 3 : Déploiement d’un script de persistance (WindowSecuryt.bat) dans le dossier Startup Windows, téléchargé depuis GitHub déguisé en fichier PNG
  4. Stage 4 : Exécution d’un payload BAT secondaire (u-t2.bat) avec tentative d’élévation de privilèges
  5. Stage 5 : Déploiement du stealer Python (sim.py) via un interpréteur Python embarqué

🦠 Capacités du stealer (sim.py)

  • Terminaison forcée de Google Chrome, Microsoft Edge, Brave et autres navigateurs Chromium
  • Collecte de données de navigateurs, credentials, cookies et sessions
  • Staging des données dans des répertoires temporaires
  • Compression des données en archives ZIP
  • Exfiltration via l’API Telegram Bot avec tokens et identifiants de canaux codés en dur
  • Les tentatives d’exfiltration ont échoué lors de l’analyse en raison de timeouts de connectivité

🏗️ Infrastructure

L’acteur utilise GitHub comme infrastructure de livraison de payloads, avec des fichiers malveillants déguisés en images PNG ou fichiers TXT. Tous les échantillons ont été uploadés depuis la Thaïlande.

📋 Type d’article

Analyse technique détaillée publiée par Seqrite TRU, visant à documenter la chaîne d’infection, les IOCs et le mapping MITRE ATT&CK d’une campagne active contre le secteur de la santé thaïlandais.

🧠 TTPs et IOCs détectés

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1070.004 — Indicator Removal on Host: File Deletion (Defense Evasion)
  • T1547.001 — Registry Run Keys / Startup Folder (Persistence)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1033 — System Owner/User Discovery (Discovery)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1555.003 — Credentials from Web Browsers (Credential Access)
  • T1560 — Archive Collected Data (Collection)
  • T1005 — Data from Local System (Collection)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1567.002 — Exfiltration to Cloud Storage/Web Service (Exfiltration)

IOC

  • URLs : https://github.com/ud-7-te/ud-vtn/raw/main/up-t2.pngURLhaus
  • URLs : https://github.com/d7-te/vtn/raw/main/T2.zipURLhaus
  • URLs : https://raw.githubusercontent.com/ud-7-te/ud-vtn/main/ud-t2.txtURLhaus
  • SHA256 : E5F6D9D405819E6B05B5D8268A2E973294859AD65237EDE36AB612B536D0AC2BVT · MalwareBazaar
  • SHA256 : 4EEBC38297A307D18784D6F9EBC8AA6E6F69860BE970CC70D9E544DEB1FF6CE0VT · MalwareBazaar
  • SHA256 : F4D4B8CAC004BB63834C6DF436721BABD9464C09787C80B268D839E0AADA9F87VT · MalwareBazaar
  • SHA256 : 74BB6AD7E1310F30A3E24FD3CBBFFA2C0C41C64E89E5D0DD1D6900E96B914183VT · MalwareBazaar
  • SHA256 : 7709D8C34D490509F3624104611EB75A862944DD9D7A642F44514ADA16C85EE9VT · MalwareBazaar
  • SHA256 : 523388567630E4FBDC359F75232BF2AD82671A680D4BFDCE0237FC30DFEC4C80VT · MalwareBazaar
  • SHA256 : 442E0F4E822842922E7E4685840194E99FD68C7F0EC38C1925914B8F724D5865VT · MalwareBazaar
  • Fichiers : Health_Ministry_Approved_Equipment_2026.rar
  • Fichiers : Health_Ministry_Approved_Equipment_2026.bat
  • Fichiers : payload.bat
  • Fichiers : WindowSecuryt.bat
  • Fichiers : u-t2.bat
  • Fichiers : Desktops.zip
  • Fichiers : sim.py
  • Chemins : C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowSecuryt.bat
  • Chemins : C:\Users\Public\Desktops.zip
  • Chemins : C:\Users\Public\Desktops\python
  • Chemins : C:\Users\Public\Desktops\Lib\sim.py
  • Chemins : C:\Users\admin\AppData\Local\Temp\u-t2.bat

Malware / Outils

  • sim.py (stealer)
  • Rouki (tool)
  • WindowSecuryt.bat (loader)
  • u-t2.bat (loader)
  • payload.bat (loader)

🟢 Indice de vérification factuelle : 67/100 (haute)

  • ⬜ seqrite.com — source non référencée (0pts)
  • ✅ 17767 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 22 IOCs dont des hashes (15pts)
  • ✅ 2/6 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 19 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • E5F6D9D405819E6B… (sha256) → VT (19/75 détections)
  • 4EEBC38297A307D1… (sha256) → VT (17/75 détections)

🔗 Source originale : https://www.seqrite.com/blog/threat-actors-weaponizing-rar-archives-to-target-thailands-healthcare-sector/