https://cyberveille.ch/tags/deno-runtime/ Recent content in Deno Runtime on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 24 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-24-dindoor-analyse-du-backdoor-deno-lie-a-muddywater-et-cartographie-de-20-serveurs-c2-actifs/ Fri, 24 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-24-dindoor-analyse-du-backdoor-deno-lie-a-muddywater-et-cartographie-de-20-serveurs-c2-actifs/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 21 avril 2026 par Hunt.io, cet article présente une analyse technique approfondie de <strong>DinDoor</strong>, un backdoor basé sur le runtime <strong>Deno</strong>, variante du <strong>Tsundere Botnet</strong>, précédemment documenté par Broadcom en mars 2026 et attribué au groupe APT iranien <strong>Seedworm (MuddyWater)</strong>.</p> <h2 id="-vecteur-dinfection-et-chaîne-dexécution">🎯 Vecteur d&rsquo;infection et chaîne d&rsquo;exécution</h2> <p>Deux échantillons MSI ont été analysés :</p> <ul> <li><strong>migcredit.pdf.msi</strong> (SHA256: <code>7b793c54a927da36649eb62b9481d5bcf1e9220035d95bbfb85f44a6cc9541ae</code>) : utilise une double extension pour se faire passer pour un PDF, cible apparente d&rsquo;une entreprise russe de microcrédit (MigCredit). Dépose <code>Juliet_widget15.ps1</code> dans <code>AppData\Local\documents\</code>, écrit le payload JS sur disque (<code>Uniform_system17.js</code>).</li> <li><strong>Installer_v1.21.66.msi</strong> (SHA256: <code>2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5</code>) : construit avec WiX Toolset, signé avec le certificat &lsquo;Amy Cherne&rsquo; lié à MuddyWater et CastleRAT. Exécute <code>error.vbs</code> pour afficher une fausse erreur, puis lance silencieusement <code>Viper_controller36.vbs</code> → <code>tango_utility84.ps1</code>. Le payload JS est exécuté <strong>entièrement en mémoire</strong> via URI <code>data:application/javascript;base64</code>.</li> </ul> <h2 id="-comportement-du-payload-deno">⚙️ Comportement du payload Deno</h2> <ul> <li><strong>Mutex via TCP</strong> : bind sur <code>127.0.0.1:10091</code> (migcredit) ou <code>127.0.0.1:10044</code> (Installer) ; si le port est occupé, <code>Deno.exit(1)</code> est appelé.</li> <li><strong>Fingerprinting</strong> : hash dual rolling initialisé à <code>0x9E3779B9</code>, combinant USERNAME, hostname, mémoire totale et OS release → identifiant hexadécimal 16 caractères envoyé à chaque requête C2.</li> <li><strong>Health check</strong> : GET <code>/health</code> avec timeout 3 secondes, attend HTTP 200 avec corps <code>ok</code>.</li> <li><strong>C2 URL</strong> (Installer) : <code>http://serialmenot[.]com/mv2/&lt;JWT&gt;/&lt;victim_hash&gt;</code> avec JWT hardcodé exposant des métadonnées de campagne.</li> <li><strong>Détection sandbox</strong> : énumération GPU via <code>Get-WmiObject Win32_VideoController</code>.</li> <li><strong>Beacon</strong> : toutes les secondes (Installer) ou toutes les 30 secondes (migcredit), rotation d&rsquo;index C2 en cas d&rsquo;échec.</li> </ul> <h2 id="-infrastructure-c2-et-pivoting">🌐 Infrastructure C2 et pivoting</h2> <p>La réponse HTTP des serveurs DinDoor présente une empreinte distinctive :</p>