🔍 Contexte

Rapport d’incident publié le 29 juin 2026 par The DFIR Report, basé sur deux intrusions survenues en juillet 2025, dont une analysée en partenariat avec Swisscom B2B CSIRT. L’analyse couvre l’intégralité de la chaîne d’attaque, de l’accès initial au déploiement du ransomware.

🎯 Accès initial

L’intrusion débute par une attaque de SEO poisoning sur Bing, ciblant des utilisateurs recherchant ManageEngine OpManager. Les victimes sont redirigées vers le domaine opmanager[.]pro, un clone du site légitime, puis vers download-center[.]online pour télécharger un installateur MSI trojanisé. Ce MSI dépose trois fichiers dans %TEMP%\ApplicationInstallationFolder_11 :

  • ManageEngine_OpManager_64bit.exe (leurre légitime)
  • consent.exe (binaire Windows légitime détourné)
  • msimg32.dll (loader BumbleBee via DLL side-loading)

⚙️ Exécution et persistance

Cinq heures après l’infection initiale, AdgNsy.exe (instance renommée de WAB.exe) est déployé et injecté avec le shellcode AdaptixC2, établissant un canal C2 persistant vers 172.96.137[.]160. Le threat actor crée deux comptes de domaine (backup_DA, backup_EA) avec des privilèges Enterprise Admin, et installe RustDesk comme service Windows sur plusieurs serveurs.

🔑 Credential Access

  • Extraction de NTDS.dit via wbadmin.exe (shadow copy vers C:\ProgramData)
  • Dump des credentials Veeam via requête PostgreSQL et déchiffrement DPAPI
  • Dump mémoire LSASS via comsvcs.dll MiniDump sur plusieurs hôtes (outil lsassy)
  • Rotation entre neuf comptes compromis

🌐 Mouvement latéral et évasion

  • Mouvement latéral principalement via RDP avec le compte backup_EA
  • Tunnel SSH inverse vers 193.242.184[.]150:22 pour proxifier le trafic RDP
  • Obfuscation de ligne de commande en casse mixte (pOWerShELl.exE, CmD.eXe)
  • Dans l’incident Swisscom : attaque BYOVD avec drivers vulnérables (rwdrv.sys, hlpdrv.sys) et tunnel Cloudflare pour masquer l’origine

📤 Exfiltration

~77 Go de données exfiltrés via FileZilla (SFTP) vers 185.174.100.203:22 (Ukraine, AS-COLOCROSSING) en deux sessions de ~4,5 heures chacune. Données incluant partages réseau, credentials, configurations SYSVOL. ~2,5 Go supplémentaires exfiltrés via le tunnel SSH depuis le contrôleur de domaine.

💥 Impact

44 heures après l’accès initial, déploiement du ransomware Akira (locker.exe) avec suppression des Volume Shadow Copies via WMI PowerShell. Le ransomware est exécuté 39 fois sur le contrôleur de domaine enfant lors d’un retour deux jours plus tard. Dans l’incident Swisscom, le binaire est nommé win.exe avec désactivation préalable des services SQL et IIS via WMIC.

📌 Infrastructure

  • BumbleBee C2 : 188.40.187[.]145, 109.205.195[.]211, 171.22.183[.]43, 194.127.178[.]21 (domaines DGA en .org)
  • AdaptixC2 : 172.96.137[.]160 (Shock Hosting)
  • SSH/Exfil : 193.242.184[.]150, 185.174.100.203
  • Infrastructure de livraison hébergée sur Hostinger (AS47583)

📄 Type d’article

Rapport d’incident technique détaillé (post-mortem), destiné aux équipes CTI et DFIR pour la détection, la chasse aux menaces et la compréhension de la chaîne d’attaque complète.

🧠 TTPs et IOCs détectés

TTP

  • T1189 — Drive-by Compromise (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1574.001 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1136 — Create Account (Persistence)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1219 — Remote Access Software (Command and Control)
  • T1568.002 — Dynamic Resolution: Domain Generation Algorithms (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1003.003 — OS Credential Dumping: NTDS (Credential Access)
  • T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1021.003 — Remote Services: Distributed Component Object Model (Lateral Movement)
  • T1047 — Windows Management Instrumentation (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1569.002 — System Services: Service Execution (Execution)
  • T1082 — System Information Discovery (Discovery)
  • T1087.002 — Account Discovery: Domain Account (Discovery)
  • T1069.002 — Permission Groups Discovery: Domain Groups (Discovery)
  • T1482 — Domain Trust Discovery (Discovery)
  • T1046 — Network Service Discovery (Discovery)
  • T1135 — Network Share Discovery (Discovery)
  • T1018 — Remote System Discovery (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1039 — Data from Network Shared Drive (Collection)
  • T1048.001 — Exfiltration Over Alternative Protocol: Exfiltration Over Symmetric Encrypted Non-C2 Protocol (Exfiltration)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1027.010 — Obfuscated Files or Information: Command Obfuscation (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)

IOC

Malware / Outils

  • BumbleBee (loader)
  • AdaptixC2 (framework)
  • Akira (ransomware)
  • RustDesk (rat)
  • FileZilla (tool)
  • lsassy (tool)
  • SoftPerfect Network Scanner (tool)
  • Invoke-ShareFinder (tool)
  • cloudflared (tool)
  • wbadmin (tool)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ thedfirreport.com — source reconnue (Rösti community) (20pts)
  • ✅ 54308 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 62 IOCs dont des hashes (15pts)
  • ✅ 9/9 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 35 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 188.40.187.145 (ip) → VT (9/91 détections)
  • 109.205.195.211 (ip) → VT (12/91 détections)
  • 171.22.183.43 (ip) → VT (7/91 détections)
  • 186b26df63df3b73… (sha256) → VT (25/75 détections)
  • a6df0b49a5ef9ffd… (sha256) → VT (48/75 détections)

🔗 Source originale : https://thedfirreport.com/2026/06/29/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira-3/