Amaranth Dragon on CyberVeille https://cyberveille.ch/tags/amaranth-dragon/ Recent content in Amaranth Dragon on CyberVeille Hugo -- 0.146.0 fr-fr Fri, 03 Apr 2026 00:00:00 +0000 Opération TrueChaos : exploitation d'un 0-day TrueConf contre des gouvernements d'Asie du Sud-Est https://cyberveille.ch/posts/2026-04-03-operation-truechaos-exploitation-d-un-0-day-trueconf-contre-des-gouvernements-d-asie-du-sud-est/ Fri, 03 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-03-operation-truechaos-exploitation-d-un-0-day-trueconf-contre-des-gouvernements-d-asie-du-sud-est/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 31 mars 2026 par Check Point Research, ce rapport documente l&rsquo;opération <strong>TrueChaos</strong>, une campagne d&rsquo;espionnage ciblée contre des entités gouvernementales en Asie du Sud-Est, exploitant une vulnérabilité zero-day dans le client <strong>TrueConf</strong>, une plateforme de vidéoconférence on-premises.</p> <h2 id="-vulnérabilité--cve-2026-3502">🐛 Vulnérabilité : CVE-2026-3502</h2> <ul> <li><strong>CVSS score : 7.8</strong></li> <li>La faille réside dans l&rsquo;<strong>absence de vérification d&rsquo;intégrité et d&rsquo;authenticité</strong> dans le mécanisme de mise à jour du client TrueConf</li> <li>Un attaquant contrôlant le serveur TrueConf on-premises peut <strong>remplacer le paquet de mise à jour légitime</strong> par un exécutable arbitraire</li> <li>Le client fait confiance au serveur sans validation, permettant la distribution et l&rsquo;exécution de fichiers malveillants sur tous les endpoints connectés</li> <li><strong>Correctif disponible</strong> dans TrueConf Windows client version <strong>8.5.3</strong> (mars 2026)</li> </ul> <h2 id="-déroulement-de-lattaque">⚔️ Déroulement de l&rsquo;attaque</h2> <ol> <li>L&rsquo;attaquant compromet le <strong>serveur TrueConf on-premises</strong> d&rsquo;un département IT gouvernemental</li> <li>Il remplace le paquet de mise à jour (<code>trueconf_client.exe</code>) par une version weaponisée</li> <li>Un lien est envoyé aux cibles pour déclencher le client TrueConf et afficher une invite de mise à jour</li> <li>Le paquet malveillant (construit avec <strong>Inno Setup</strong>) installe légitimement la version 8.5.2 tout en déposant : <ul> <li><code>poweriso.exe</code> (binaire bénin)</li> <li><code>7z-x64.dll</code> (implant malveillant) dans <code>c:\programdata\poweriso\</code></li> </ul> </li> <li><strong>DLL side-loading</strong> via <code>poweriso.exe</code> pour charger <code>7z-x64.dll</code></li> </ol> <h2 id="-post-exploitation">🛠️ Post-exploitation</h2> <ul> <li>Reconnaissance : <code>tasklist</code>, <code>tracert 8.8.8.8</code></li> <li>Téléchargement via FTP depuis <code>47.237.15[.]197</code> d&rsquo;un loader <code>iscsiexe.dll</code> dans <code>update.7z</code></li> <li><strong>Bypass UAC</strong> via <code>iscsicpl.exe</code> (SysWOW64) et DLL search-order hijacking</li> <li>Modification du <code>PATH</code> utilisateur : <code>HKCU\environment</code></li> <li>Persistance via <code>HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck</code> pointant vers <code>PowerISO.exe</code></li> <li>Déploiement final d&rsquo;un implant <strong>Havoc</strong> communiquant avec l&rsquo;infrastructure C2 de l&rsquo;acteur</li> </ul> <h2 id="-attribution">🎯 Attribution</h2> <p>Check Point Research attribue avec <strong>confiance modérée</strong> cette opération à un <strong>acteur à nexus chinois</strong>, sur la base de :</p>