https://cyberveille.ch/tags/astral-projection/ Recent content in Astral Projection on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 19 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-19-astral-projection-un-udrl-cobalt-strike-avec-module-stomping-avance-et-evasion-en-memoire/ Sun, 19 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-19-astral-projection-un-udrl-cobalt-strike-avec-module-stomping-avance-et-evasion-en-memoire/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 19 avril 2026 sur GitHub par le compte <strong>KuwaitiSt</strong>, le projet <strong>Astral Projection</strong> est un <strong>UDRL (User-Defined Reflective Loader)</strong> conçu pour <strong>Cobalt Strike</strong>, un framework offensif largement utilisé dans les opérations red team et par des acteurs malveillants.</p> <h2 id="-fonctionnement-technique">⚙️ Fonctionnement technique</h2> <p>Astral Projection implémente des techniques d&rsquo;<strong>évasion en mémoire</strong> avancées :</p> <ul> <li>Chargement d&rsquo;un module légitime via <strong><code>LoadLibraryExW</code></strong> puis écrasement de son contenu (<strong>module stomping</strong>)</li> <li>Pendant les phases de sommeil du beacon, le module est <strong>déchargé (unmapped)</strong> tout en maintenant les <strong>entrées PEB intactes</strong></li> <li>Un module frais est <strong>rechargé (remapped)</strong> au réveil pour éviter la détection par des IOCs statiques en mémoire</li> </ul> <h2 id="-dépendances-et-configuration">🛠️ Dépendances et configuration</h2> <p>Le projet est construit avec <strong>Crystal Palace</strong> et s&rsquo;appuie partiellement sur le code du projet <strong>Crystal-Kit</strong>.</p>