🔍 Contexte

Publié le 29 juin 2026 sur GitHub par l’utilisateur 28Zaaky, le dépôt khaos-c2 présente KHAØS, un framework de command-and-control (C2) post-exploitation open-source sous licence MIT. Le projet compte 109 étoiles et 19 forks au moment de la publication. Le code est principalement écrit en C (91,6%), avec des composants JavaScript, Python et PowerShell.

🎯 Description du framework

KHAØS est conçu pour contourner les solutions EDR en s’appuyant sur plusieurs mécanismes d’évasion :

  • Indirect syscalls et décrochage de ntdll depuis une copie fraîche sur disque
  • Patch ETW et AMSI via hardware breakpoints (sans byte-patching)
  • Obfuscation de la pile pendant les phases de sommeil
  • Régénération dynamique des clés d’encodage et XOR à chaque compilation (aucune signature statique partagée entre deux binaires)

📡 Canaux de communication (5 canaux)

Canal Transport Trafic mimé
Microsoft Teams HTTPS Trafic O365 enterprise (*.office.com)
GitHub Gist REST Activité développeur (api.github.com)
DNS-over-HTTPS DoH Requêtes DNS chiffrées (1.1.1.1)
HTTP/S HTTPS Trafic web générique
SMB Named Pipe SMB Mouvement latéral interne

Le chiffrement du trafic utilise ChaCha20-Poly1305 avec échange de clés X25519, unique par agent et par session.

🛠️ Capacités post-exploitation

  • Exécution : shell, execute-assembly (.NET CLR in-process), chargeur BOF/COFF, capture d’écran
  • Injection : remote thread, thread hijack, EarlyBird APC, module stomp, self-injection
  • Identité : vol/création/revert de tokens, bypass UAC (ICMLuaUtil, fodhelper, sdclt), getsystem
  • Credentials : dump LSASS (minidump custom), ruches SAM/SYSTEM via SeBackupPrivilege, Kerberoasting, AS-REP roasting
  • Réseau : proxy SOCKS5, reverse port forward, pivot SMB, mouvement latéral WMI
  • Persistance : clé de registre Run, tâche planifiée (XML)
  • Crypter/Loader : mapping PE en mémoire par réflexion (stageless)

🖥️ Interface opérateur

L’UI est une application React avec builder de payload intégré, carte réseau en temps réel, stockage de credentials et galerie de captures d’écran, mise à jour via WebSocket.

📌 Type d’article

Il s’agit d’une publication d’outil offensif open-source sur GitHub, visant à présenter les capacités techniques d’un nouveau framework C2 à destination des équipes red team et pentesters.

🧠 TTPs et IOCs détectés

TTP

  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1071.003 — Application Layer Protocol: Mail Protocols (Command and Control)
  • T1071.004 — Application Layer Protocol: DNS (Command and Control)
  • T1090.001 — Proxy: Internal Proxy (Command and Control)
  • T1090.002 — Proxy: External Proxy (Command and Control)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1055.001 — Process Injection: Dynamic-link Library Injection (Defense Evasion)
  • T1055.004 — Process Injection: Asynchronous Procedure Call (Defense Evasion)
  • T1055.013 — Process Injection: Process Doppelgänging (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1134.001 — Access Token Manipulation: Token Impersonation/Theft (Privilege Escalation)
  • T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
  • T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
  • T1003.002 — OS Credential Dumping: Security Account Manager (Credential Access)
  • T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
  • T1558.004 — Steal or Forge Kerberos Tickets: AS-REP Roasting (Credential Access)
  • T1047 — Windows Management Instrumentation (Lateral Movement)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)

IOC

  • Domaines : khaos.khaotic.frVT · URLhaus · ThreatFox
  • URLs : https://github.com/28Zaaky/khaos-c2URLhaus
  • URLs : https://discord.gg/qNeK6cvwSqURLhaus

Malware / Outils

  • KHAOS C2 (framework)
  • Cobalt Strike (framework)
  • Havoc (framework)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ github.com — source non référencée (0pts)
  • ✅ 5108 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/3 IOCs confirmés externellement (0pts)
  • ✅ 24 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://github.com/28Zaaky/khaos-c2