🔍 Contexte

Publié le 23 juin 2026 par Zscaler ThreatLabz, cet article présente une analyse technique approfondie d’une campagne d’attaque attribuée à un initial access broker (IAB) affilié au groupe ransomware Payouts King.

🎯 Mécanisme d’attaque

La campagne repose sur deux vecteurs combinés :

  • Ingénierie sociale pour l’accès initial
  • Un mécanisme innovant de livraison de malware via une extension malveillante pour Microsoft Edge

L’extension abuse du protocole Chrome native messaging pour interagir avec des applications natives de l’hôte, contournant ainsi le sandbox du navigateur.

⚙️ Capacités techniques

Grâce à cette technique, les attaquants obtiennent un accès direct à l’hôte et peuvent :

  • Manipuler le système de fichiers local
  • Lancer des processus
  • Exécuter du code arbitraire sur la machine compromise

Zscaler a nommé ce malware basé sur navigateur Edgecution.

🛡️ Évasion

L’article annonce une analyse des techniques utilisées pour contourner les sandboxes de malware, les signatures réseau, les antivirus et les solutions EDR.

📄 Nature de l’article

Il s’agit d’une publication de recherche technique produite par l’équipe ThreatLabz de Zscaler, visant à documenter et exposer les tactiques, techniques et procédures (TTPs) d’un acteur malveillant actif.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Payouts King (cybercriminal) —

TTP

  • T1566 — Phishing (Initial Access)
  • T1176 — Browser Extensions (Persistence)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1106 — Native API (Execution)
  • T1562 — Impair Defenses (Defense Evasion)
  • T1083 — File and Directory Discovery (Discovery)

Malware / Outils

  • Edgecution (other)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ✅ zscaler.com — source reconnue (liste interne) (20pts)
  • ✅ 990 chars — extrait court (5pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Payouts King (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution

🖴 Archive : https://web.archive.org/web/20260625070324/https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution