C2 via Services Légitimes

🔍 Contexte Publié le 23 avril 2026 par ESET Research (WeLiveSecurity), cet article présente la découverte d’un groupe APT jusqu’alors inconnu, baptisé GopherWhisper, identifié pour la première fois en janvier 2025 lors de l’analyse d’un système appartenant à une entité gouvernementale en Mongolie. 🎯 Attribution et ciblage Le groupe est considéré comme aligné avec la Chine sur la base de plusieurs éléments : Les messages Slack et Discord ont été envoyés majoritairement entre 8h et 17h UTC+8 (heure standard de Chine) Les métadonnées Slack indiquent un fuseau horaire configuré en UTC+8 Le comportement d’une machine opérateur (VM VMware) correspond également à ce fuseau horaire Aucun chevauchement de code ou de TTPs avec un groupe connu n’a été identifié, justifiant la création d’une nouvelle attribution. ...

Source: Microsoft Security Blog — Microsoft Incident Response (DART) publie une analyse technique d’un nouveau backdoor, « SesameOp », découvert en juillet 2025 lors d’une réponse à incident où les attaquants visaient une persistance longue durée à des fins d’espionnage. • 🧩 Chaîne d’infection et composants: Le loader Netapi64.dll (obfusqué via Eazfuscator.NET) est chargé par injection .NET AppDomainManager via un fichier .config, crée des marqueurs (fichier C:\Windows\Temp\Netapi64.start, mutex) et exécute un binaire XOR-décodé « .Netapi64 ». Le composant principal OpenAIAgent.Netapi64 lit une configuration dans la ressource .NET TextFile1 au format <OpenAI_API_Key>|<Dictionary_Key_Name>|, gère les proxys, encode le nom d’hôte en Base64 et interagit avec l’écosystème Assistants/Vector Stores d’OpenAI. ...