🔍 Contexte

Check Point Research publie le 17 juin 2026 une analyse technique d’une campagne de distribution de clipboard hijacker ciblant les propriétaires de cryptomonnaies et les joueurs de crash-games en ligne. L’acteur exploite un écosystème multi-plateformes de fausse légitimité pour maximiser la portée de ses outils malveillants.

🎯 Vecteurs de distribution et ingénierie sociale

L’acteur opère via plusieurs canaux coordonnés :

  • Site WordPress de phishing servant de hub central, promouvant des outils comme des Solana/Pump.fun sniper bots, Aviator Predictor et des crash-game predictors
  • GitHub : au moins 6 comptes (Decryptor-j, crash-predictor1, roblox-script1, hack-scripts, stake-mines) avec plus de 5 000 téléchargements dont 1 250+ pour la version macOS
  • SourceForge : 44 485 téléchargements dont 37 460 depuis des appareils Android (probablement une ferme Android pour gonfler les statistiques)
  • YouTube : chaîne avec narrateurs générés par IA, pics de vues suspects, commentaires coordonnés positifs
  • Sites d’actualités légitimes : posts publiés le 27 avril 2026 (depuis retirés), potentiellement via des posts sponsorisés ou des médias compromis
  • BitcoinTalk.org et forums de hacking : présence documentée depuis 2019, post de 2022 intitulé BLACKHAT | Bitcoin Stealer | Advanced Builder | Tutorial | Clipper [Address Changer]+Re-Fud method

🦠 Payload technique

Les binaires livrés sont des clipboard hijackers écrits en Rust, disponibles pour Windows et macOS. Leurs fonctionnalités :

  • Installation de persistance
  • Surveillance continue du presse-papiers
  • Remplacement des adresses de portefeuilles crypto détectées par des adresses contrôlées par l’attaquant
  • Listes d’adresses attaquant intégrées dans le binaire

🕵️ Manipulation de la réputation

L’acteur abuse des mécanismes de réputation sur plusieurs plateformes :

  • GitHub Ghost Networks : étoiles et forks artificiels (ex. : 146 étoiles, 62 forks sur un dépôt)
  • SourceForge : avis positifs coordonnés
  • YouTube Ghost Networks : pics de vues artificiels, commentaires positifs de faux comptes
  • VirusTotal : votes bénins et commentaires « safe » sur des échantillons malveillants, combinés à un faible taux de détection, créant une fausse impression de sécurité

🔗 Attribution

L’acteur est lié au handle @JoseCmanXD (Telegram, WordPress, YouTube). Des traces d’activité remontent à 2019 sur des forums de hacking.

📄 Type d’article

Publication de recherche technique de Check Point Research, visant à documenter une campagne active de distribution de malware crypto via manipulation de réputation multi-plateformes.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • JoseCmanXD (cybercriminal) —

TTP

  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1176 — Browser Extensions (Persistence)
  • T1547 — Boot or Logon Autostart Execution (Persistence)
  • T1510 — Clipboard Data (Collection)
  • T1553 — Subvert Trust Controls (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1496 — Resource Hijacking (Impact)
  • T1565.001 — Data Manipulation: Stored Data Manipulation (Impact)

Malware / Outils

  • Rust Clipboard Hijacker (stealer)
  • CryptoRipper (stealer)
  • Bitcoin Stealer (stealer)

🟢 Indice de vérification factuelle : 65/100 (haute)

  • ✅ research.checkpoint.com — source reconnue (liste interne) (20pts)
  • ✅ 15000 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : JoseCmanXD (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://research.checkpoint.com/2026/from-stars-to-upvotes-fake-reputation-fueling-a-crypto-clipboard-hijacker/