🔍 Contexte
Publié le 29 juin 2026 sur GitHub par l’utilisateur 28Zaaky, le dépôt khaos-c2 présente KHAØS, un framework de command-and-control (C2) post-exploitation open-source sous licence MIT. Le projet compte 109 étoiles et 19 forks au moment de la publication. Le code est principalement écrit en C (91,6%), avec des composants JavaScript, Python et PowerShell.
🎯 Description du framework
KHAØS est conçu pour contourner les solutions EDR en s’appuyant sur plusieurs mécanismes d’évasion :
- Indirect syscalls et décrochage de
ntdlldepuis une copie fraîche sur disque - Patch ETW et AMSI via hardware breakpoints (sans byte-patching)
- Obfuscation de la pile pendant les phases de sommeil
- Régénération dynamique des clés d’encodage et XOR à chaque compilation (aucune signature statique partagée entre deux binaires)
📡 Canaux de communication (5 canaux)
| Canal | Transport | Trafic mimé |
|---|---|---|
| Microsoft Teams | HTTPS | Trafic O365 enterprise (*.office.com) |
| GitHub Gist | REST | Activité développeur (api.github.com) |
| DNS-over-HTTPS | DoH | Requêtes DNS chiffrées (1.1.1.1) |
| HTTP/S | HTTPS | Trafic web générique |
| SMB Named Pipe | SMB | Mouvement latéral interne |
Le chiffrement du trafic utilise ChaCha20-Poly1305 avec échange de clés X25519, unique par agent et par session.
🛠️ Capacités post-exploitation
- Exécution : shell, execute-assembly (.NET CLR in-process), chargeur BOF/COFF, capture d’écran
- Injection : remote thread, thread hijack, EarlyBird APC, module stomp, self-injection
- Identité : vol/création/revert de tokens, bypass UAC (ICMLuaUtil, fodhelper, sdclt), getsystem
- Credentials : dump LSASS (minidump custom), ruches SAM/SYSTEM via SeBackupPrivilege, Kerberoasting, AS-REP roasting
- Réseau : proxy SOCKS5, reverse port forward, pivot SMB, mouvement latéral WMI
- Persistance : clé de registre Run, tâche planifiée (XML)
- Crypter/Loader : mapping PE en mémoire par réflexion (stageless)
🖥️ Interface opérateur
L’UI est une application React avec builder de payload intégré, carte réseau en temps réel, stockage de credentials et galerie de captures d’écran, mise à jour via WebSocket.
📌 Type d’article
Il s’agit d’une publication d’outil offensif open-source sur GitHub, visant à présenter les capacités techniques d’un nouveau framework C2 à destination des équipes red team et pentesters.
🧠 TTPs et IOCs détectés
TTP
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1071.003 — Application Layer Protocol: Mail Protocols (Command and Control)
- T1071.004 — Application Layer Protocol: DNS (Command and Control)
- T1090.001 — Proxy: Internal Proxy (Command and Control)
- T1090.002 — Proxy: External Proxy (Command and Control)
- T1572 — Protocol Tunneling (Command and Control)
- T1055.001 — Process Injection: Dynamic-link Library Injection (Defense Evasion)
- T1055.004 — Process Injection: Asynchronous Procedure Call (Defense Evasion)
- T1055.013 — Process Injection: Process Doppelgänging (Defense Evasion)
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
- T1134.001 — Access Token Manipulation: Token Impersonation/Theft (Privilege Escalation)
- T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
- T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
- T1003.002 — OS Credential Dumping: Security Account Manager (Credential Access)
- T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
- T1558.004 — Steal or Forge Kerberos Tickets: AS-REP Roasting (Credential Access)
- T1047 — Windows Management Instrumentation (Lateral Movement)
- T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
- T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
- T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
- T1620 — Reflective Code Loading (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
IOC
- Domaines :
khaos.khaotic.fr— VT · URLhaus · ThreatFox - URLs :
https://github.com/28Zaaky/khaos-c2— URLhaus - URLs :
https://discord.gg/qNeK6cvwSq— URLhaus
Malware / Outils
- KHAOS C2 (framework)
- Cobalt Strike (framework)
- Havoc (framework)
🟡 Indice de vérification factuelle : 50/100 (moyenne)
- ⬜ github.com — source non référencée (0pts)
- ✅ 5108 chars — texte complet (fulltext extrait) (15pts)
- ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ 0/3 IOCs confirmés externellement (0pts)
- ✅ 24 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://github.com/28Zaaky/khaos-c2