Mandiant dévoile CORNFLAKE.V3 : une porte dérobée Node.js/PHP diffusée via ClickFix et faux CAPTCHA
Source: Mandiant Threat Defense — Publication de recherche détaillant une campagne multi‑étapes d’« access‑as‑a‑service » aboutissant au déploiement du backdoor CORNFLAKE.V3. Le groupe UNC5518 utilise des pages CAPTCHA factices pour piéger les utilisateurs et fournir l’accès initial à d’autres acteurs. Cet accès est ensuite exploité par UNC5774 pour installer CORNFLAKE.V3, une porte dérobée disponible en variantes JavaScript (Node.js) et PHP. Le malware permet persistance, reconnaissance et exécution de charges, notamment des outils de collecte d’identifiants et d’autres backdoors. ...