🎯 Contexte

Publié le 24 juin 2026 par la Darkatlas Squad sur darkatlas.io, cet article présente une analyse technique complÚte de LoaderClient, le payload de stage-1 de la campagne WeedHack, un service de Malware-as-a-Service (MaaS) ciblant les joueurs Minecraft depuis janvier 2026.

đŸ§© Origine et Ă©volution de la campagne

WeedHack est issu d’un stealer privĂ© appelĂ© Majanito (fin 2025), dĂ©veloppĂ© par un acteur utilisant le mĂȘme pseudonyme. En dĂ©but 2026, la base de code a Ă©tĂ© reprise et rebrandĂ©e en WeedHack, transformĂ©e en plateforme MaaS accessible sur le clearnet. Le namespace dev.majanito est prĂ©servĂ© dans le code compilĂ© du stage-2, confirmant la filiation. La campagne a enregistrĂ© plus de 116 000 compromissions uniques avec un rythme de 2 000 Ă  3 000 nouvelles infections par jour.

💰 Modùle MaaS

La plateforme propose :

  • Tier gratuit : vol de sessions Minecraft, 36 navigateurs, 56 wallets crypto, tokens Discord/Telegram/Steam
  • Tier premium Ă  5 $/mois ou 24,99 $ Ă  vie : keylogger, webcam 25 FPS, partage d’Ă©cran 720p, shell distant, contrĂŽle souris/clavier
  • Plus de 850 opĂ©rateurs enregistrĂ©s sur Telegram

🔗 Vecteurs de distribution

  • YouTube : vidĂ©os polished de mods Minecraft avec liens malveillants en description
  • SEO poisoning : faux portails de tĂ©lĂ©chargement imitant des clients open-source (Meteor Client, Wurst, Radium, LiquidBounce, Skytils)
  • Faux mods Fabric : JAR malveillant nommĂ© “Github” (mod ID: github, version 1.0.0)

⚙ ChaĂźne d’exĂ©cution technique

Stage-1 (LoaderClient) :

  • ExĂ©cutĂ© via com.github.LoaderClient.onInitialize() au dĂ©marrage de Minecraft
  • Vol des donnĂ©es de session : nom d’affichage, UUID, token OAuth Microsoft live
  • RĂ©solution C2 via EtherHiding : appel eth_call sur le contrat Ethereum 0x1280a841Fbc1F883365d3C83122260E0b2995B74 avec le sĂ©lecteur 0xce6d41de
  • VĂ©rification RSA-2048 (SHA256withRSA) de l’URL retournĂ©e
  • TĂ©lĂ©chargement et exĂ©cution entiĂšrement en mĂ©moire du stage-2 via un ClassLoader custom (IMCL)

Stage-2 (Module.jar) :

  • CompilĂ© avec JNIC v3.7.0 (Java Native Interface Compiler), logique mĂ©tier en code natif
  • DLLs natifs (x86-64 et AArch64) compressĂ©s LZMA2 et obfusquĂ©s ChaCha20 dans dac261f0-fd12-4fb9-9a32-6a945ac10c4c.dat
  • Re-rĂ©solution C2 indĂ©pendante via le mĂȘme contrat Ethereum
  • Bypass UAC via CMSTP utilisant JNA Win32 API
  • Bypass SSL (trust-all-certs X509TrustManager)
  • DNS-over-HTTPS via classe CloudflareDNS (OkHttp3)
  • Exfiltration via TelemetryHelper.initTelemetry()
  • IMCL embarquĂ© pour chargement d’un stage-3 en mĂ©moire

đŸ›Ąïž Techniques d’Ă©vasion

  • Obfuscation de chaĂźnes : cipher custom decS (k1=187, k2=67) produisant des identifiants Java Unicode non-ASCII
  • Zip bomb : META-INF/README.txt, 442 MB dĂ©compressĂ© (~663:1), contournant les scanners limitĂ©s Ă  10 MB
  • ExĂ©cution fileless du stage-2 (jamais Ă©crit sur disque)
  • Suppression console via relancement avec javaw.exe
  • Fausse identitĂ© de mod avec fabric.mod.json lĂ©gitime

📌 IOCs clĂ©s

  • Contrat Ethereum (C2 anchor) : 0x1280a841Fbc1F883365d3C83122260E0b2995B74
  • Domaine C2 actuel : fucktermedfir.st
  • Domaine C2 prĂ©cĂ©dent : whnewreceive.ru
  • Stage-1 SHA256 : F91714F89616002C6C1411233470F58E74FAD7CB5A7DA6F77AA6082F5D2E8771
  • Stage-2 SHA256 : E7D1346153B49CE403687BBD0DDBF1DB63DE6808D64EA2812EA48EF0CFE7CF2A

📄 Nature de l’article

Il s’agit d’une analyse technique approfondie (teardown binaire) publiĂ©e par une Ă©quipe de threat intelligence, visant Ă  documenter la campagne WeedHack, fournir des IOCs actionnables et des rĂšgles YARA pour la dĂ©tection.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • WeedHack (cybercriminal) —
  • Majanito (cybercriminal) —

TTP

  • T1566 — Phishing (Initial Access)
  • T1608.006 — Stage Capabilities: SEO Poisoning (Resource Development)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1027.009 — Obfuscated Files or Information: Embedded Payloads (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
  • T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1568 — Dynamic Resolution (Command and Control)
  • T1568.001 — Dynamic Resolution: Fast Flux DNS (Command and Control)
  • T1573 — Encrypted Channel (Command and Control)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1113 — Screen Capture (Collection)
  • T1125 — Video Capture (Collection)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1102 — Web Service (Command and Control)

IOC

  • IPv4 : 45.141.119.34 — AbuseIPDB · VT · ThreatFox
  • Domaines : fucktermedfir.st — VT · URLhaus · ThreatFox
  • Domaines : whnewreceive.ru — VT · URLhaus · ThreatFox
  • Domaines : whpayment.ru — VT · URLhaus · ThreatFox
  • Domaines : whreceive.ru — VT · URLhaus · ThreatFox
  • Domaines : telemetrydata.to — VT · URLhaus · ThreatFox
  • URLs : https://fucktermedfir.st/files/jar/module — URLhaus
  • URLs : wss://remotev2.whpayment.ru/ws/client — URLhaus
  • URLs : wss://remotev2.whreceive.ru/ws/client — URLhaus
  • SHA256 : f91714f89616002c6c1411233470f58e74fad7cb5a7da6f77aa6082f5d2e8771 — VT · MalwareBazaar
  • SHA256 : e7d1346153b49ce403687bbd0ddbf1db63de6808d64ea2812ea48ef0cfe7cf2a — VT · MalwareBazaar
  • SHA1 : f7911f5be3d08da95dcda8afb1beb8e462376f9d — VT · MalwareBazaar
  • MD5 : d991a7c9e2c3b269975404405a79adbc — VT · MalwareBazaar
  • Fichiers : RuntimeBroker.exe
  • Fichiers : Telemetry.exe
  • Fichiers : WindowsRunetimeBroker.exe
  • Chemins : %APPDATA%\Roaming\RuntimeBroker.exe
  • Chemins : %APPDATA%\Roaming\Microsoft\Tlmtry\Telemetry.exe
  • Chemins : %APPDATA%\Roaming\WindowsRunetimeBroker.exe
  • Chemins : %TEMP%\lib*.dll

Malware / Outils

  • LoaderClient (loader)
  • WeedHack (framework)
  • Module.jar (rat)

🟱 Indice de vĂ©rification factuelle : 95/100 (haute)

  • ✅ darkatlas.io — source reconnue (Rösti community) (20pts)
  • ✅ 66331 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 20 IOCs dont des hashes (15pts)
  • ✅ 6/9 IOCs confirmĂ©s (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 24 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifiĂ©(s) : WeedHack, Majanito (5pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

IOCs confirmés externellement :

  • 45.141.119.34 (ip) → VT (9/91 dĂ©tections) + ThreatFox (PureRAT)
  • f91714f89616002c
 (sha256) → VT (25/76 dĂ©tections)
  • e7d1346153b49ce4
 (sha256) → VT (25/76 dĂ©tections)
  • fucktermedfir.st (domain) → VT (21/91 dĂ©tections) + ThreatFox (Unknown malware)
  • whnewreceive.ru (domain) → VT (18/91 dĂ©tections)

🔗 Source originale : https://darkatlas.io/blog/loaderclient-malware-analysis-how-weedhack-uses-ethereum-smart-contracts-for-resilient-c2-infrastructure