đ Contexte
PubliĂ© le 25 juin 2026 par les chercheurs Chen Aviani et Nikita Kazymirskyi de LevelBlue (SpiderLabs Blog), cet article prĂ©sente l’analyse technique de QuimaRAT, un nouveau Remote Access Trojan (RAT) Ă©crit en Java, ciblant simultanĂ©ment Windows, macOS et Linux.
đ§© Description du malware
QuimaRAT v2.0 est commercialisé sur un forum du dark web en tant que Malware-as-a-Service (MaaS) avec les caractéristiques suivantes :
- 70+ modules disponibles
- Chiffrement AES256
- Revendiqué comme FUD (Fully Undetectable)
- Interface graphique (GUI panel)
- Tarification par abonnement : 150 $ (1 mois), 300 $ (3 mois), 500 $ (6 mois), 700 $ (12 mois), 1 200 $ (accĂšs Ă vie)
âïž Architecture technique
- Organisé comme un projet Java modulaire Apache Maven (deux fichiers
pom.xmldistincts) - Exécuté sur JVM Java SE 8 via une archive JAR
- Contient des bibliothĂšques natives JNA (Java Native Access) pour Windows, Linux et macOS sur plusieurs architectures
- Chargement d’un fichier de configuration chiffrĂ©
config.datembarquĂ© dans le JAR, dĂ©chiffrĂ© via une routine XOR Ă clĂ© rĂ©pĂ©tĂ©e - VĂ©rification d’instance unique via un fichier
.lockdans le rĂ©pertoire temporaire de l’OS (JavaFileLock) - VĂ©rifications anti-virtualisation et anti-analyse spĂ©cifiques Ă l’OS avant exĂ©cution
- Mécanismes de persistance spécifiques à chaque OS
đĄ Communications C2
- Utilisation des commandes HANDSHAKE et HEARTBEAT pour maintenir des communications C2 résilientes
- 23 commandes implémentées confirmées par analyse statique
- 212 commandes de protocole uniquement, suggĂ©rant une capacitĂ© d’extension via modules runtime, binaires uploadĂ©s ou payloads fileless
đ Type d’article
Il s’agit d’une analyse technique publiĂ©e par un laboratoire de recherche en sĂ©curitĂ©, dont le but principal est de documenter les capacitĂ©s, l’architecture et le fonctionnement de QuimaRAT pour la communautĂ© CTI.
đ§ TTPs et IOCs dĂ©tectĂ©s
TTP
- T1059.007 â Command and Scripting Interpreter: JavaScript (Execution)
- T1547 â Boot or Logon Autostart Execution (Persistence)
- T1573 â Encrypted Channel (Command and Control)
- T1497 â Virtualization/Sandbox Evasion (Defense Evasion)
- T1140 â Deobfuscate/Decode Files or Information (Defense Evasion)
- T1071 â Application Layer Protocol (Command and Control)
- T1027 â Obfuscated Files or Information (Defense Evasion)
IOC
- Fichiers :
config.dat
Malware / Outils
- QuimaRAT (rat)
- KarstoRAT (rat)
- ClickFix (other)
đĄ Indice de vĂ©rification factuelle : 46/100 (moyenne)
- ⏠levelblue.com â source non rĂ©fĂ©rencĂ©e (0pts)
- â 4642 chars â texte complet (fulltext extrait) (15pts)
- â 1 IOC(s) (6pts)
- ⏠pas d’IOC vĂ©rifiĂ© (0pts)
- â 7 TTPs MITRE identifiĂ©es (15pts)
- â date extraite du HTML source (10pts)
- ⏠aucun acteur de menace nommé (0pts)
- ⏠pas de CVE à vérifier (0pts)
đ Source originale : https://www.levelblue.com/blogs/spiderlabs-blog/novel-java-based-quimarat-targets-windows-macos-and-linux