Millenium RAT v4 : migration vers C++, MaaS à 50$/mois, 62 000 endpoints compromis

🔍 Contexte

Publié le 25 juin 2026 par Group-IB (blog officiel), cet article présente une analyse technique approfondie du Millenium RAT version 4.*, un cheval de Troie d’accès à distance (RAT) initialement documenté par CYFIRMA en novembre 2023 (version 2.4). L’analyse couvre l’évolution architecturale du malware, son modèle de distribution, les campagnes actives et la victimologie mondiale.

🏗️ Évolution architecturale majeure

La version 4.* marque un changement architectural critique : le malware abandonne le framework .NET au profit d’une application native C++, supprimant toute dépendance au runtime .NET. La communication C2 repose exclusivement sur l’API Telegram Bot via libcurl, sans infrastructure serveur dédiée. La configuration est chargée depuis une ressource PE embarquée (RCDATA), encodée en Base64 et chiffrée via un algorithme XOR personnalisé avec mot de passe intégré dans le PE.

💰 Modèle MaaS et distribution

Le développeur, opérant sous le pseudonyme ShinyEnigma, distribue le RAT selon un modèle Malware-as-a-Service :

• 50 USD pour le premier mois
• 10 USD pour les mois suivants
• 90 USD en achat unique à vie

La promotion s’effectue via des forums underground (Dread), GitHub, GitLab et Gitea (dépôts depuis supprimés), ainsi que via le site hxxps://milleniumrat[.]online. Les commits Gitea originaux étaient rédigés en russe.

🎯 Campagnes Y2K Operators

Le cluster Y2K Operators est responsable des campagnes d’exploitation actives. Les vecteurs de livraison reposent sur l’ingénierie sociale avec des leurres thématiques :

• Outils de fraude et cybercriminalité (générateurs de cartes, vérificateurs de soldes)
• Kits de hacking et OSINT
• Cracks logiciels et contournements KYC
• Leurres gaming (Roblox)
• RATs et builders trojanisés (AsyncRAT, XWorm, njRAT redistribués avec backdoor)

Une chaîne d’infection via LNK → PowerShell → VBS → payload a été observée, avec utilisation du domaine 75877[.]mcdir[.]me comme proxy pour l’API Telegram Bot, accompagnée de leurres PDF en russe.

📊 Victimologie

• 62 289 endpoints compromis dans plus de 160 pays
• 39 730 infections enregistrées au seul Q1 2026
• Ciblage global, tous secteurs confondus

⚙️ Fonctionnalités du RAT

Le RAT implémente un ensemble complet de commandes via l’API Telegram :

• Capture d’écran, audio (microphone 15s), webcam, keylogging
• Exfiltration de données navigateur, Discord, Telegram, portefeuilles crypto
• Exécution de commandes CMD/PowerShell, téléchargement/exécution de fichiers
• Chiffrement/déchiffrement de fichiers victimes
• Persistance via HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• Élévation de privilèges via prompt UAC légitime
• Toutes les fonctionnalités reposent sur des appels Windows API standard

📄 Type d’article

Il s’agit d’une publication de recherche à visée CTI, combinant analyse technique de malware, profilage de threat actors et victimologie, destinée aux analystes sécurité, chercheurs en malware et équipes de réponse à incident.

🧠 TTPs et IOCs détectés

Acteurs de menace

• ShinyEnigma (cybercriminal) —
• Y2K Operators (cybercriminal) —

TTP

• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
• T1106 — Native API (Execution)
• T1674 — Input Injection (Execution)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
• T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
• T1113 — Screen Capture (Collection)
• T1123 — Audio Capture (Collection)
• T1125 — Video Capture (Collection)
• T1056.001 — Input Capture: Keylogging (Collection)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1102.002 — Web Service: Bidirectional Communication (Command and Control)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
• T1204.002 — User Execution: Malicious File (Execution)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1105 — Ingress Tool Transfer (Command and Control)
• T1486 — Data Encrypted for Impact (Impact)

IOC

• IPv4 : 158.94.208.168 — AbuseIPDB · VT · ThreatFox
• IPv4 : 62.60.226.97 — AbuseIPDB · VT · ThreatFox
• IPv4 : 130.12.180.43 — AbuseIPDB · VT · ThreatFox
• Domaines : milleniumrat.online — VT · URLhaus · ThreatFox
• Domaines : 75877.mcdir.me — VT · URLhaus · ThreatFox
• Domaines : kuttabilla.top — VT · URLhaus · ThreatFox
• Domaines : blackhatusa.com — VT · URLhaus · ThreatFox
• Domaines : thesnapchatmodapk.com — VT · URLhaus · ThreatFox
• Domaines : modedapk.net — VT · URLhaus · ThreatFox
• URLs : http://158.94.208.168/files/8514679081/DRTjyu7.exe — URLhaus
• URLs : https://www.thesnapchatmodapk.com/update1.exe — URLhaus
• URLs : https://modedapk.net/update1.exe — URLhaus
• URLs : https://75877.mcdir.me/files/doc1.exe — URLhaus
• URLs : http://kuttabilla.top/mr.exe — URLhaus
• URLs : http://62.60.226.97:5553/voshod.exe — URLhaus
• URLs : http://130.12.180.43/files/7924412375/upOSLDn.exe — URLhaus
• URLs : https://blackhatusa.com/setup.exe — URLhaus
• URLs : https://blackhatusa.com/clip.exe — URLhaus
• URLs : http://blackhatusa.com/mr.exe — URLhaus
• URLs : https://blackhatusa.com/update.exe — URLhaus
• URLs : https://75877.mcdir.me/files/2.vbs — URLhaus
• SHA256 : 1d699a46339626db299548e32ed3a77eec267840c3de39b49caf38b88aeb150d — VT · MalwareBazaar
• SHA256 : 2267d05dbd5e30c6dfcdde25731280dd755e689faa684bd21cfbef5281fd3e86 — VT · MalwareBazaar
• SHA256 : 12b41c07299d2535f7cdc194d97496acd944a9eb5d94b8d24b19291ed9d0830c — VT · MalwareBazaar
• SHA256 : 1d52ded1f3838a1eee849ae20b2fee6c84b183cc98abe7244365b9f34b925eea — VT · MalwareBazaar
• SHA256 : 4e035575be8fe350a9e36cf29dbbc8826af2f772672bd08c9e489a243cb90e31 — VT · MalwareBazaar
• SHA256 : 1c01ab1b59245f24ebdc5d9c414fcf4e2ce31f71f181522efc5a3d27476c8e21 — VT · MalwareBazaar
• SHA256 : e4496565d9fd2f9425c10a98d3a8632c12af5fe4259484cb202d7f65532b7df2 — VT · MalwareBazaar
• SHA256 : ad0f892b7b99b68491ade4949ef6b575e64d9df5f84a53019b5c1e4eeb4c46a9 — VT · MalwareBazaar
• SHA256 : ad74f502cc37e815482df49f118b2f678daf1a3f522daf07a2abeb32c2ed3831 — VT · MalwareBazaar
• SHA256 : 2d8e5a2763f9a899fda44390d5b8495836c11fb266a61868d52d1f397c5243ee — VT · MalwareBazaar
• SHA256 : cc47209d2e4d5a9b2b1d71622b0ad7f73e9c4aa56edd9aaf1e29265650c30f16 — VT · MalwareBazaar
• SHA256 : 85816d89dac648645a9026973772815e956c267232b3d2577a06a43418f19ed3 — VT · MalwareBazaar
• SHA256 : 92710bdb44279dbe8ccff34ba698d1558fa6d271c99ed4960ccbfb6d518d9418 — VT · MalwareBazaar
• SHA256 : a8acc24bb3e6a1a3b66a31ceaefda07d4a0e17415468683458b499f2ba240450 — VT · MalwareBazaar
• SHA256 : d55ce447e249ef9045750865fa196c8ca8434c8c484f861b7bdecbceeab7c16e — VT · MalwareBazaar
• SHA256 : a97f15d7bfad02a600eba426c3ef72be34e944a7c8364a975c53866735f7aa4e — VT · MalwareBazaar
• SHA256 : fc41c336b79cbc6559a17d716b84101dbef1adc5357b643a75111af442719611 — VT · MalwareBazaar
• SHA256 : 5a23ca644cb1f310be1abd5f6c6a3b3e15681ced99b0947a7f3465a79aae5089 — VT · MalwareBazaar
• SHA256 : 3e17ce0b30b9fd6863b341ae58ee118dc13f2ee7f1c92ac4b81c04d54480d0e0 — VT · MalwareBazaar
• SHA256 : 7d8b6a64f7b65b281e7b5568929c6f96c62bbae9628162aabe7d8140a86d3de8 — VT · MalwareBazaar
• SHA256 : 307964ed02f34bff4e40c5402cc936be07fd9957ef400596a4b3e2cd98c50ec1 — VT · MalwareBazaar
• SHA256 : 8bef879c6920cdce7c01b8dbb7da24dca23b8822a7aa00dfc72cb32f55879a24 — VT · MalwareBazaar
• SHA256 : 19e0070e5009bd5b376b9be997361d0773dcb004200ee8fafe6c14b96cbd93e4 — VT · MalwareBazaar
• SHA256 : 88f9e169a85dcf6a1c03bf3ca1b1a262ed32baeca46cb87f0324adfdc098d4a2 — VT · MalwareBazaar
• SHA256 : 5562246e38f8935ba8b07350e6aaa44bc22abf37b77f49836fde5999f4b61cf1 — VT · MalwareBazaar
• SHA256 : de3842bbb6626912d5b9b01fb775e1843004edb5855d4e627fd74b88bc7fe33b — VT · MalwareBazaar
• SHA256 : ccca11a6d5835999c40a0a5264084b3740633600c157754fad2ef59559e31736 — VT · MalwareBazaar
• SHA256 : 8f8a71352d2f18162f2f74090dc6f0cae6b37029e3244e6522825ade75163055 — VT · MalwareBazaar
• SHA256 : 57edeb575862ce8d3bff2eb4d32d9e3fa1ffb7cb8f818e2e7fc6d25a506faea6 — VT · MalwareBazaar
• SHA256 : 2d5615acd1b0666995fd124fb72f2713c6609b5368350340288b52fecbdd016d — VT · MalwareBazaar
• SHA256 : 848036661c71b80ee41566918faa5eae3bf4f03ae807bb4af42cb483b6c141e2 — VT · MalwareBazaar
• SHA256 : aa2ccd18a7a09f66ca5c1bbd927f7fe411bd3874df77b0eaf40738dab7566606 — VT · MalwareBazaar
• SHA256 : a4b34b94a905fe330b0a3e4502aa45356e383a8f45ff1d008b785ea0ec14acaf — VT · MalwareBazaar
• SHA256 : a911fe0259772906447d7e80a902ea954f3530edd9ea7d0427b6380707a8e681 — VT · MalwareBazaar
• SHA256 : 7a370a9262d37de6a24706f92ff0cdded7202281a6ff3bf313721756226ebff9 — VT · MalwareBazaar
• SHA256 : 66bf111030a2e22db575c0b7b7b677208745eef8b44265bb4259f41f126f1bf8 — VT · MalwareBazaar
• SHA256 : 512adab2c69feaf026adfb12cbd7d2eb4fee746120491e44f476eebddcbb19f2 — VT · MalwareBazaar
• SHA256 : 8419b1f0acca46d45f4c54c315c8cc4784946e07d547fe55187b928fa6c6b8f5 — VT · MalwareBazaar
• SHA256 : 4991873515d6dea70d7769cf67ccd8ea69184e5e454a6e6d1e093b6a3c48eb47 — VT · MalwareBazaar
• Fichiers : DRTjyu7.exe
• Fichiers : update1.exe
• Fichiers : doc1.exe
• Fichiers : mr.exe
• Fichiers : voshod.exe
• Fichiers : upOSLDn.exe
• Fichiers : setup.exe
• Fichiers : clip.exe
• Fichiers : update.exe
• Fichiers : 2.vbs
• Fichiers : glass_example.pdf
• Fichiers : document_kp_glass.pdf
• Fichiers : Microsoft Antivirus.exe
• Fichiers : MSAV.exe
• Fichiers : update1.exe
• Fichiers : Udate.exe
• Fichiers : Built.exe
• Fichiers : rcsdriver.exe
• Fichiers : MsEdgeUpdate.exe
• Chemins : %TEMP%\doc1.exe
• Chemins : %USERPROFILE%\Downloads\document_kp_glass.pdf

Malware / Outils

• Millenium RAT (rat)
• AsyncRAT (rat)
• XWorm (rat)
• njRAT (rat)

🟢 Indice de vérification factuelle : 95/100 (haute)

• ✅ group-ib.com — source reconnue (liste interne) (20pts)
• ✅ 30023 chars — texte complet (fulltext extrait) (15pts)
• ✅ 81 IOCs dont des hashes (15pts)
• ✅ 9/12 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 23 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : ShinyEnigma, Y2K Operators (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 158.94.208.168 (ip) → VT (17/91 détections)
• 62.60.226.97 (ip) → VT (19/91 détections) + ThreatFox (Unknown Stealer)
• 130.12.180.43 (ip) → VT (15/91 détections) + ThreatFox (Amadey)
• 1d699a46339626db… (sha256) → VT (57/76 détections)
• 2267d05dbd5e30c6… (sha256) → VT (51/76 détections)

🔗 Source originale : https://www.group-ib.com/blog/millenium-rat-maas/