🔍 Contexte

PubliĂ© le 25 juin 2026 par les chercheurs Chen Aviani et Nikita Kazymirskyi de LevelBlue (SpiderLabs Blog), cet article prĂ©sente l’analyse technique de QuimaRAT, un nouveau Remote Access Trojan (RAT) Ă©crit en Java, ciblant simultanĂ©ment Windows, macOS et Linux.

đŸ§© Description du malware

QuimaRAT v2.0 est commercialisé sur un forum du dark web en tant que Malware-as-a-Service (MaaS) avec les caractéristiques suivantes :

  • 70+ modules disponibles
  • Chiffrement AES256
  • RevendiquĂ© comme FUD (Fully Undetectable)
  • Interface graphique (GUI panel)
  • Tarification par abonnement : 150 $ (1 mois), 300 $ (3 mois), 500 $ (6 mois), 700 $ (12 mois), 1 200 $ (accĂšs Ă  vie)

⚙ Architecture technique

  • OrganisĂ© comme un projet Java modulaire Apache Maven (deux fichiers pom.xml distincts)
  • ExĂ©cutĂ© sur JVM Java SE 8 via une archive JAR
  • Contient des bibliothĂšques natives JNA (Java Native Access) pour Windows, Linux et macOS sur plusieurs architectures
  • Chargement d’un fichier de configuration chiffrĂ© config.dat embarquĂ© dans le JAR, dĂ©chiffrĂ© via une routine XOR Ă  clĂ© rĂ©pĂ©tĂ©e
  • VĂ©rification d’instance unique via un fichier .lock dans le rĂ©pertoire temporaire de l’OS (Java FileLock)
  • VĂ©rifications anti-virtualisation et anti-analyse spĂ©cifiques Ă  l’OS avant exĂ©cution
  • MĂ©canismes de persistance spĂ©cifiques Ă  chaque OS

📡 Communications C2

  • Utilisation des commandes HANDSHAKE et HEARTBEAT pour maintenir des communications C2 rĂ©silientes
  • 23 commandes implĂ©mentĂ©es confirmĂ©es par analyse statique
  • 212 commandes de protocole uniquement, suggĂ©rant une capacitĂ© d’extension via modules runtime, binaires uploadĂ©s ou payloads fileless

📄 Type d’article

Il s’agit d’une analyse technique publiĂ©e par un laboratoire de recherche en sĂ©curitĂ©, dont le but principal est de documenter les capacitĂ©s, l’architecture et le fonctionnement de QuimaRAT pour la communautĂ© CTI.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1547 — Boot or Logon Autostart Execution (Persistence)
  • T1573 — Encrypted Channel (Command and Control)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1027 — Obfuscated Files or Information (Defense Evasion)

IOC

  • Fichiers : config.dat

Malware / Outils

  • QuimaRAT (rat)
  • KarstoRAT (rat)
  • ClickFix (other)

🟡 Indice de vĂ©rification factuelle : 46/100 (moyenne)

  • ⬜ levelblue.com — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 4642 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vĂ©rifiĂ© (0pts)
  • ✅ 7 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://www.levelblue.com/blogs/spiderlabs-blog/novel-java-based-quimarat-targets-windows-macos-and-linux