ChaCha20

CrystalX RAT : un nouveau cheval de Troie MaaS combinant espionnage, vol de crypto et fonctions de canular

🔍 Contexte Publié le 1 avril 2026 par l’équipe GReAT de Kaspersky, cet article présente l’analyse d’un nouveau cheval de Troie d’accès à distance (RAT) nommé CrystalX, découvert en mars 2026 sur des canaux Telegram privés. Le malware est distribué selon un modèle malware-as-a-service (MaaS) avec trois niveaux d’abonnement. 🧬 Origine et évolution Première mention en janvier 2026 dans un chat Telegram privé pour développeurs de RAT, sous le nom WebCrystal RAT Identifié comme un clone de WebRat, un RAT préexistant Rebaptisé CrystalX RAT peu après, avec création d’un canal Telegram dédié pour sa commercialisation Des vidéos tutorielles publiées sur YouTube sous couvert de « fins éducatives » facilitent son utilisation 💣 Capacités malveillantes Vol de données et surveillance : ...

Analyse technique complète du ransomware Payload : dérivé de Babuk, Curve25519+ChaCha20, 12 victimes

Analyse statique complète du ransomware Payload, dérivé du code source Babuk 2021, utilisant Curve25519+ChaCha20, ciblant Windows et ESXi avec 12 victimes et 2 603 Go exfiltrés. 🔍 Contexte Publié le 21 mars 2026 par Kirk sur derp.ca, cet article présente une analyse statique complète du ransomware Payload, actif depuis au moins le 17 février 2026. Le groupe revendique 12 victimes dans 7 pays, avec 2 603 Go de données exfiltrées, dont une attaque contre le Royal Bahrain Hospital (110 Go, deadline 23 mars 2026). ...

Charon : un nouveau ransomware sophistiqué vise le secteur public et l’aviation au Moyen-Orient

Selon Trend Micro, des chercheurs ont identifié « Charon », une nouvelle famille de ransomware ciblant des organisations du secteur public et de l’aviation au Moyen-Orient. Le rapport met en avant des techniques avancées proches des campagnes Earth Baxia et détaille ses mécanismes d’exécution et d’évasion. Le ransomware recourt à des techniques de type APT, dont le DLL sideloading via le binaire légitime Edge.exe pour charger une DLL malveillante msedge.dll (SWORDLDR). Cette charge utile décrypte et injecte du shellcode chiffré dans des processus svchost.exe, amorçant la phase d’exécution. Il intègre des capacités anti-EDR et démontre une propagation réseau vers des partages accessibles, tout en évitant les partages ADMIN$. ...