đ° Source : BleepingComputer, publiĂ© le 24 juin 2026, basĂ© sur une analyse technique de Zscaler.
đŻ Contexte gĂ©nĂ©ral Des chercheurs de Zscaler ont documentĂ© une campagne d’attaque sophistiquĂ©e utilisant une extension malveillante pour Microsoft Edge, baptisĂ©e Edgecution, attribuĂ©e Ă un initial access broker (IAB) liĂ© Ă l’opĂ©ration ransomware Payouts Kings.
đ Vecteur d’accĂšs initial L’attaque dĂ©bute par une ingĂ©nierie sociale via Microsoft Teams : l’attaquant se fait passer pour du personnel IT et dirige les victimes vers une fausse page “Outlook Updates Management Console” imitant Microsoft. Cette page propose des boutons de tĂ©lĂ©chargement qui :
- Téléchargent des composants malveillants
- Copient des scripts dans le presse-papiers
- Lancent des formulaires de collecte de credentials Microsoft 365 et Outlook
âïž MĂ©canisme technique Trois scripts sont utilisĂ©s pour dĂ©ployer Edgecution : AutoHotKey, Windows batch script et PowerShell. Ces scripts :
- Configurent l’environnement
- Corrigent les en-tĂȘtes d’un archive ZIP malformĂ© (pour contourner les produits de sĂ©curitĂ©)
- Extraient les fichiers et créent une tùche planifiée lançant Microsoft Edge en mode headless
L’archive ZIP contient Python 3.13.3 embarquĂ© et deux rĂ©pertoires (extension et native).
𧩠Composants malveillants
- Extension Edge malveillante (dĂ©guisĂ©e en “Edge Monitoring Agent”) : se connecte au C2, reçoit des instructions, s’exĂ©cute dans un navigateur Edge headless invisible, et communique via le protocole Chrome Native Messaging
- Backdoor Python (exĂ©cuteur au niveau hĂŽte) : reçoit les commandes relayĂ©es par l’extension et peut exĂ©cuter :
- Commandes shell
- Scripts PowerShell
- Code Python arbitraire
- Ăcriture de fichiers
- ĂnumĂ©ration des processus
- Collecte d’informations systĂšme
đ Persistance
Les scripts crĂ©ent un fichier batch dans le rĂ©pertoire native et un manifeste Chrome Native Messaging permettant au navigateur de se connecter Ă l’application native, assurant ainsi la persistance sur l’hĂŽte compromis.
đ Observations complĂ©mentaires Les deux composants malveillants contiennent des commandes inutilisĂ©es susceptibles d’ĂȘtre activĂ©es dans de futures versions. Zscaler a publiĂ© des IoCs incluant des serveurs C2, des hashes de l’extension malveillante et du backdoor Python.
đ Type d’article : Analyse technique dĂ©taillĂ©e d’une nouvelle technique d’attaque, visant Ă documenter le fonctionnement d’Edgecution pour les Ă©quipes de sĂ©curitĂ© et les plateformes CTI.
đ§ TTPs et IOCs dĂ©tectĂ©s
Acteurs de menace
- Payouts Kings (cybercriminal) â
TTP
- T1566.002 â Phishing: Spearphishing Link (Initial Access)
- T1204.001 â User Execution: Malicious Link (Execution)
- T1059.001 â Command and Scripting Interpreter: PowerShell (Execution)
- T1059.003 â Command and Scripting Interpreter: Windows Command Shell (Execution)
- T1059.006 â Command and Scripting Interpreter: Python (Execution)
- T1176 â Browser Extensions (Persistence)
- T1053.005 â Scheduled Task/Job: Scheduled Task (Persistence)
- T1056.003 â Input Capture: Web Portal Capture (Collection)
- T1041 â Exfiltration Over C2 Channel (Exfiltration)
- T1027 â Obfuscated Files or Information (Defense Evasion)
- T1036 â Masquerading (Defense Evasion)
- T1057 â Process Discovery (Discovery)
- T1082 â System Information Discovery (Discovery)
- T1105 â Ingress Tool Transfer (Command and Control)
IOC
- Fichiers :
Edgecution
Malware / Outils
- Edgecution (other)
- Python backdoor (backdoor)
- AutoHotKey script (tool)
đĄ Indice de vĂ©rification factuelle : 61/100 (moyenne)
- â bleepingcomputer.com â source reconnue (liste interne) (20pts)
- â 4390 chars â texte complet (15pts)
- â 1 IOC(s) (6pts)
- ⏠pas d’IOC vĂ©rifiĂ© (0pts)
- â 14 TTPs MITRE identifiĂ©es (15pts)
- ⏠date RSS ou approximée (0pts)
- â acteur(s) identifiĂ©(s) : Payouts Kings (5pts)
- ⏠pas de CVE à vérifier (0pts)
đ Source originale : https://www.bleepingcomputer.com/news/security/malicious-edge-extension-abuses-native-messaging-as-bridge-to-malware/