DinDoor

🔍 Contexte Publié le 21 avril 2026 par Hunt.io, cet article présente une analyse technique approfondie de DinDoor, un backdoor basé sur le runtime Deno, variante du Tsundere Botnet, précédemment documenté par Broadcom en mars 2026 et attribué au groupe APT iranien Seedworm (MuddyWater). 🎯 Vecteur d’infection et chaîne d’exécution Deux échantillons MSI ont été analysés : migcredit.pdf.msi (SHA256: 7b793c54a927da36649eb62b9481d5bcf1e9220035d95bbfb85f44a6cc9541ae) : utilise une double extension pour se faire passer pour un PDF, cible apparente d’une entreprise russe de microcrédit (MigCredit). Dépose Juliet_widget15.ps1 dans AppData\Local\documents\, écrit le payload JS sur disque (Uniform_system17.js). Installer_v1.21.66.msi (SHA256: 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5) : construit avec WiX Toolset, signé avec le certificat ‘Amy Cherne’ lié à MuddyWater et CastleRAT. Exécute error.vbs pour afficher une fausse erreur, puis lance silencieusement Viper_controller36.vbs → tango_utility84.ps1. Le payload JS est exécuté entièrement en mémoire via URI data:application/javascript;base64. ⚙️ Comportement du payload Deno Mutex via TCP : bind sur 127.0.0.1:10091 (migcredit) ou 127.0.0.1:10044 (Installer) ; si le port est occupé, Deno.exit(1) est appelé. Fingerprinting : hash dual rolling initialisé à 0x9E3779B9, combinant USERNAME, hostname, mémoire totale et OS release → identifiant hexadécimal 16 caractères envoyé à chaque requête C2. Health check : GET /health avec timeout 3 secondes, attend HTTP 200 avec corps ok. C2 URL (Installer) : http://serialmenot[.]com/mv2/<JWT>/<victim_hash> avec JWT hardcodé exposant des métadonnées de campagne. Détection sandbox : énumération GPU via Get-WmiObject Win32_VideoController. Beacon : toutes les secondes (Installer) ou toutes les 30 secondes (migcredit), rotation d’index C2 en cas d’échec. 🌐 Infrastructure C2 et pivoting La réponse HTTP des serveurs DinDoor présente une empreinte distinctive : ...

🔍 Contexte Rapport technique publié le 6 avril 2026 par JUMPSEC, basé sur l’analyse d’un serveur C2 mal configuré, de 15 échantillons de malware et d’un nouveau payload PE. L’analyse s’inscrit dans la continuité des travaux de Symantec, Check Point, Malwarebytes et Recorded Future sur MuddyWater et CastleRAT. 🎯 Acteurs et relation MuddyWater (alias Seedworm, Mango Sandstorm, TA450, Static Kitten), groupe d’espionnage iranien opérant sous le Ministry of Intelligence and Security (MOIS), est identifié comme client de la plateforme MaaS TAG-150, développée par des cybercriminels russophones. Cette relation est confirmée par trois chaînes de preuves indépendantes. ...

🕵️ Contexte Publié le 22 mars 2026 sur le blog de Marc-Frédéric Gomez, ce document est une fiche de renseignement CTI (TLP:CLEAR) mise à jour sur le groupe APT iranien MERCURY/MuddyWater (alias Mango Sandstorm, Seedworm, Static Kitten, TA450, Boggy Serpens, Earth Vetala, TEMP.Zagros, G0069). Il constitue une synthèse analytique structurée à destination des équipes CTI. 🏴 Attribution & Sponsor Le groupe est subordonné au MOIS (Ministry of Intelligence and Security iranien), attribution formalisée dans un avis conjoint FBI/CISA/CNMF/NCSC-UK du 24 février 2022. Un lien opérationnel avec Storm-1084 (DarkBit) est documenté par Microsoft. Le groupe partage la même tutelle institutionnelle qu’APT39 mais constitue un cluster distinct. ...

Le groupe iranien MuddyWater a mené en février-mars 2026 une campagne d’espionnage ciblée utilisant deux nouveaux malwares, Dindoor et Fakeset, contre des organisations financières, aéroportuaires et de défense aux États-Unis, en Israël et au Canada. 🌐 Contexte Rapport publié le 20 mars 2026 par Krypt3ia, analysant une campagne d’intrusion conduite entre février et mars 2026 par le groupe iranien MuddyWater (aussi connu sous les alias Seedworm, MERCURY, Static Kitten, MOIST KEYCHAIN, Mango Sandstorm), aligné avec le Ministère du Renseignement et de la Sécurité iranien (MOIS). ...