UAC-0184 : évolution du tooling OneDrive sideload vers Remcos Agent 7.1.0 Pro

🔍 Contexte

Analyse technique publiée le 27 juin 2026 par Robin Dost sur le blog Synaptic Security, documentant l’évolution du tooling de l’acteur UAC-0184 (également tracké sous MB-0005). L’article fait suite à une précédente analyse de la même campagne et couvre un nouveau sample avec une chaîne d’infection remaniée.

📦 Vecteur initial

L’archive initiale spisokszch.zip (SHA-256 : c74bb6fb848cdb87c2b4261da1efc078023cdf95aa7b1436c52c26f3a11025af) contient :

• Quatre fichiers LNK déguisés en images JPG et un fichier Excel
• Un fichier README.txt rédigé en ukrainien demandant à la victime d’extraire les fichiers sur le bureau avant de les ouvrir

Le contenu leurre est un tableau militaire ukrainien de cas d’AWOL/désertion (39 soldats avec noms, grades, dates d’absence, numéros de dossiers), ciblant explicitement une audience militaro-administrative ukrainienne.

⛓️ Chaîne d’exécution

1. LNK → cmd.exe : reconstruction de MSXML2.XMLHTTP depuis deux variables pour éviter la détection
2. VBScript temporaire : télécharge un script PowerShell via MSXML2.XMLHTTP + ADODB.Stream
3. PowerShell (-NoP -W Hidden -ExecutionPolicy Bypass) : télécharge szch45clusterhum.zip depuis 144.31.236.240, extrait dans MSWinDistro/, exécute ClusterHub.exe et ouvre un leurre visuel
4. ClusterHub.exe : binaire OneDrive légitime qui charge par sideload UpdateRingSettings.dll (composant malveillant)
5. monitor_base.sym (~35 KB) : shellcode x64 encodé par addition DWORD (clé 0x3A12EA50)
6. physicsdesc.map (~1,36 MB) : 164 chunks IDAT pseudo-PNG, décodés par XOR DWORD (0x54EBEC5E) puis décompressés via LZNT1 (RtlDecompressBuffer)
7. Bundle HijackLoader (35 modules) : contient 8 PE embarqués dont tcpvcon.exe (Sysinternals), HearthstoneDeckTracker.exe (hôte CUSTOMINJECT), stubs 32/64 bits
8. Remcos Agent 7.1.0 Pro : chiffré par XOR répétitif sur 200 octets, configuré pour communiquer avec 144.31.236.240:27018

🔄 Évolution par rapport au sample précédent

Architecture interne conservée : DWORD addition → shellcode → IDAT extraction → DWORD XOR → LZNT1 → bundle modulaire. Le chemin %windir%\SysWOW64\input.dll est également réutilisé.

🌐 Infrastructure

L’IP 144.31.236.240 (AS202226, hébergeur h2.nexus, paiement crypto/Telegram) remplit deux rôles :

• Livraison HTTP : scripts PowerShell + archive secondaire
• C2 Remcos TCP : port 27018

Aucun domaine, redirecteur ou couche de livraison séparée n’a été identifié.

📋 Configuration Remcos récupérée

• C2 : 144.31.236.240:27018
• Mutex : Rmc-X5JFP2
• Fichier installé : remcos.exe
• Logs : logs.dat | Screenshots : Screenshots | Micro : MicRecords
• Chiffrement ressource SETTINGS : RC4 (1 octet longueur clé + 62 octets clé)

📌 Type d’article

Analyse technique approfondie de malware et de chaîne d’infection, destinée à la communauté CTI pour le tracking de l’acteur UAC-0184 et la détection de ses TTPs.

🧠 TTPs et IOCs détectés

Acteurs de menace

• UAC-0184 (state-sponsored) — orkl.eu · Malpedia

TTP

• T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
• T1204.002 — User Execution: Malicious File (Execution)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
• T1055 — Process Injection (Defense Evasion)
• T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1105 — Ingress Tool Transfer (Command and Control)
• T1573 — Encrypted Channel (Command and Control)
• T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
• T1608.004 — Stage Capabilities: Drive-by Target (Resource Development)
• T1560 — Archive Collected Data (Collection)
• T1113 — Screen Capture (Collection)
• T1123 — Audio Capture (Collection)

IOC

• IPv4 : 144.31.236.240 — AbuseIPDB · VT · ThreatFox
• URLs : http://144.31.236.240/szch45/ritecommunion.ps1 — URLhaus
• URLs : http://144.31.236.240/szch45/shoutnewspaper.ps1 — URLhaus
• URLs : http://144.31.236.240/szch45/hintprefix.ps1 — URLhaus
• URLs : http://144.31.236.240/szch45/collectivisationgown.ps1 — URLhaus
• URLs : http://144.31.236.240/szch45clusterhum.zip — URLhaus
• SHA256 : c74bb6fb848cdb87c2b4261da1efc078023cdf95aa7b1436c52c26f3a11025af — VT · MalwareBazaar
• SHA256 : bb40c9d8c217516a92a18a1bdb080a5af92cfafe81f6751dea665e3e78cb4851 — VT · MalwareBazaar
• SHA256 : fe38e54bedee074825eb3fcbe4824ed203876692a424e0c183e0006b31d1b7a8 — VT · MalwareBazaar
• SHA256 : a8d0a03543db29d279175c9679eba574dcb7a17e306195a68ab1d033ee2be01c — VT · MalwareBazaar
• SHA256 : 6754f3854680767a394b22090f277fc53ec5a242faff54bf233084da5989c3ef — VT · MalwareBazaar
• SHA256 : adf2c6f80229677615358b56f329aba9c3e9e009d9ca6d6deb0b805e6e212dbc — VT · MalwareBazaar
• SHA256 : 43579dd80314b6de4a1ca4e40b53ef0376a2ab55d50c8368e0b26af0af0d08c7 — VT · MalwareBazaar
• SHA256 : 95c8f0ac2e427a5637e554c60f649cab1fe55f649fe3aacde3c66fdc6491921b — VT · MalwareBazaar
• SHA256 : 56b19b9f63a649e8cfb9a0e4bb73aac52fbc2265e9793a5b976221432d0ba77f — VT · MalwareBazaar
• SHA256 : fee96a66a8c143ff4f172963a56a813427a65dad7758834bb3283685a37df633 — VT · MalwareBazaar
• SHA256 : a11339f52a3b31d5a1f134e19bfc83d260ccbde4f14b14889bd824cc636c9a93 — VT · MalwareBazaar
• SHA256 : da48273d7d4ab1d71ecf50fec0a58884ddb2baf18d872f25cab3637519ef71d7 — VT · MalwareBazaar
• SHA256 : c0713fd808170f2204a9bc091288e358c5f3266bf99a44f3a36a7ccc03732bb1 — VT · MalwareBazaar
• SHA256 : 93621d3793198cb00c1a0450e8e3375d6c0de862a8449ab796c894062ae32612 — VT · MalwareBazaar
• SHA256 : ad17e13f05399f0c3a2b13505507a78d8c2dbe2850e507a2d78b9dfa2f5b5e9a — VT · MalwareBazaar
• SHA256 : 40079f05ba7cdccac1f62f8e7e1b644bc0a806b58465f5c005725bc54ee73ef1 — VT · MalwareBazaar
• SHA256 : 198995fecc0e38a2749b7e48c54112a959b77878683b726ee36430c4bacec196 — VT · MalwareBazaar
• SHA256 : c50bffbef786eb689358c63fc0585792d174c5e281499f12035afa1ce2ce19c8 — VT · MalwareBazaar
• SHA256 : 8e8e43a2f0069f081f5ffb77237faebcda9a46e8f8fd0e128500e74bbc9ea3a5 — VT · MalwareBazaar
• SHA256 : 3594a835ed3dbf80ac460c0e852fa91baa3b17aadff9c3b40c03eff6b34658d2 — VT · MalwareBazaar
• SHA256 : 729e5965e43ff458f6da901536c9a43be52a3820718e2dd5456150e2d73bb97f — VT · MalwareBazaar
• SHA256 : 68bee500e0080f21c003126e73b6d07804d23ac98b2376a8b76c26297d467abe — VT · MalwareBazaar
• SHA256 : b02b8547644bbfe77428e59c5ccec56c412e3c83aec44180e59110189a249956 — VT · MalwareBazaar
• SHA256 : 324e2f2241604e53b88bd590213385abbb2961d3f17debfb4d40e4fa7bd9c4c0 — VT · MalwareBazaar
• SHA256 : 4870337bcd6e3ba0d82ca6a42604c05f1885c87967d0dc120f699d2b19706247 — VT · MalwareBazaar
• Fichiers : spisokszch.zip
• Fichiers : JPG_012.jpg.lnk
• Fichiers : JPG_013.jpg.lnk
• Fichiers : JPG_014.jpg.lnk
• Fichiers : spisokszch.xlsx.lnk
• Fichiers : README.txt
• Fichiers : szch45clusterhum.zip
• Fichiers : ClusterHub.exe
• Fichiers : UpdateRingSettings.dll
• Fichiers : LoggingPlatform.dll
• Fichiers : monitor_base.sym
• Fichiers : physicsdesc.map
• Fichiers : ritecommunion.ps1
• Fichiers : shoutnewspaper.ps1
• Fichiers : hintprefix.ps1
• Fichiers : collectivisationgown.ps1
• Fichiers : remcos.exe
• Fichiers : logs.dat
• Chemins : %windir%\SysWOW64\input.dll
• Chemins : MSWinDistro\ClusterHub.exe

Malware / Outils

• HijackLoader (loader)
• IDATLoader (loader)
• Remcos (rat)

🟢 Indice de vérification factuelle : 75/100 (haute)

• ⬜ blog.synapticsystems.de — source non référencée (0pts)
• ✅ 32894 chars — texte complet (fulltext extrait) (15pts)
• ✅ 51 IOCs dont des hashes (15pts)
• ✅ 4/7 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 18 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : UAC-0184 (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 144.31.236.240 (ip) → VT (13/91 détections) + ThreatFox (Remcos)
• c74bb6fb848cdb87… (sha256) → VT (32/76 détections)
• bb40c9d8c217516a… (sha256) → VT (30/76 détections)
• fe38e54bedee0748… (sha256) → VT (31/76 détections)

🔗 Source originale : https://blog.synapticsystems.de/uac-0184-tooling-evolution-onedrive-sideload-to-remcos/