📰 Source : Cyber Press — Date : 26 juin 2026
🎯 Contexte Le groupe de menace UAC-0226 a mis à jour ses tactiques pour cibler des entités ukrainiennes, notamment dans le domaine militaire, en déployant le stealer GIFTEDCROOK via une nouvelle chaîne d’infection exploitant une faille dans WinRAR.
🔓 Vecteur d’infection Les attaquants exploitent une vulnérabilité de path traversal via Alternate Data Streams (ADS) dans WinRAR. Lors de la simple extraction d’une archive, le payload est déposé automatiquement sans interaction supplémentaire de la victime. Un leurre PDF thématisé autour des drones de reconnaissance à fibre optique ukrainiens est utilisé pour cibler un public militaire.
⚙️ Chaîne d’exécution
- L’archive dépose un fichier raccourci dans le dossier Startup Windows (persistance automatique)
- Deux fichiers de staging obfusqués (WC3 et wt1) sont placés dans
C:\ProgramData - Au démarrage, le raccourci déclenche une invite de commande minimisée lançant un processus PowerShell caché
- Le loader PowerShell attend 60 secondes, lit
wt1, le décode par soustraction mathématique, alloue de la mémoire et injecte le payload directement en mémoire - Le loader envoie une télémétrie d’exécution au serveur C2 (passage du port 8406 au port 8640)
🧬 Caractéristiques du payload
- Image sans en-tête (headerless) avec mapper réflectif personnalisé : reconstruction entièrement en mémoire, sans écriture sur disque
- Utilisation d’un chiffrement par flux personnalisé pour déchiffrer les chaînes internes
- Ciblage des navigateurs : Google Chrome, Microsoft Edge, Opera, Firefox (cookies, identifiants, état local)
- Recherche de fichiers sensibles : profils OpenVPN, bases KeePass, Java KeyStores, archives email
📋 Type d’article : Analyse technique d’une campagne APT ciblée, visant à documenter l’évolution des TTPs de UAC-0226 et à fournir des IoCs exploitables.
🧠 TTPs et IOCs détectés
Acteurs de menace
TTP
- T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
- T1204.002 — User Execution: Malicious File (Execution)
- T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
- T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
- T1055 — Process Injection (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1620 — Reflective Code Loading (Defense Evasion)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
- T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
- T1083 — File and Directory Discovery (Discovery)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
IOC
- SHA256 :
420f1931af9b3f7d02c5edfc78eb69abdad6e71d2c3e9b81f9cbc3823a503654— VT · MalwareBazaar - SHA256 :
dc4c906e56ecb446cbb10b227e1fb470e4281085846783 14533d80e52a2b9b30— [VT](https://www.virustotal.com/gui/search/dc4c906e56ecb446cbb10b227e1fb470e4281085846783 14533d80e52a2b9b30) · [MalwareBazaar](https://bazaar.abuse.ch/browse.php?search=sha256%3Adc4c906e56ecb446cbb10b227e1fb470e4281085846783 14533d80e52a2b9b30) - Fichiers :
WC3 - Fichiers :
wt1 - Chemins :
C:\ProgramData\WC3 - Chemins :
C:\ProgramData\wt1
Malware / Outils
- GIFTEDCROOK (stealer)
🟢 Indice de vérification factuelle : 88/100 (haute)
- ✅ cyberpress.org — source reconnue (Rösti community) (20pts)
- ✅ 4118 chars — texte complet (fulltext extrait) (15pts)
- ✅ 6 IOCs dont des hashes (15pts)
- ✅ 1/2 IOC(s) confirmé(s) (MalwareBazaar, ThreatFox, VirusTotal) (8pts)
- ✅ 13 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : UAC-0226 (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
420f1931af9b3f7d…(sha256) → VT (29/76 détections)
🔗 Source originale : https://cyberpress.org/winrar-flaw-deploys-giftedcrook/#google_vignette