DLL Sideloading

🔍 Contexte Publié le 15 avril 2026 par la Howler Cell Research Team de Cyderes, ce rapport présente l’analyse technique complète d’une chaîne d’infection en 5 étapes impliquant deux nouvelles familles de malwares : Direct-Sys Loader et CGrabber Stealer. 📦 Vecteur d’infection La campagne débute par la distribution d’archives ZIP hébergées sur l’infrastructure GitHub user-attachments. L’archive analysée (Eclipsyn.zip, SHA-256 : f464a4155526fa22c45a82d3aa75a13970189aad8cc3fa6050cf803a54d8baed) contient un binaire légitime signé Microsoft, Launcher_x64.exe, abusé pour du DLL sideloading via une DLL malveillante nommée msys-crypto-3.dll. ...

🔍 Contexte Source : Securelist (Kaspersky), publié le 10 avril 2026. Le site cpuid.com, hébergeant les installateurs des outils d’administration système CPU-Z, HWMonitor, HWMonitor Pro et PerfMonitor 2, a été compromis dans le cadre d’une attaque de type watering hole. 🕐 Chronologie La compromission a eu lieu entre le 9 avril 2026 à 15h00 UTC et le 10 avril 2026 à 10h00 UTC, soit une fenêtre d’attaque de moins de 24 heures. Les URLs de téléchargement légitimes ont été remplacées par des URLs pointant vers quatre sites malveillants. ...

🔍 Contexte Publié le 31 mars 2026 par Check Point Research, ce rapport documente l’opération TrueChaos, une campagne d’espionnage ciblée contre des entités gouvernementales en Asie du Sud-Est, exploitant une vulnérabilité zero-day dans le client TrueConf, une plateforme de vidéoconférence on-premises. 🐛 Vulnérabilité : CVE-2026-3502 CVSS score : 7.8 La faille réside dans l’absence de vérification d’intégrité et d’authenticité dans le mécanisme de mise à jour du client TrueConf Un attaquant contrôlant le serveur TrueConf on-premises peut remplacer le paquet de mise à jour légitime par un exécutable arbitraire Le client fait confiance au serveur sans validation, permettant la distribution et l’exécution de fichiers malveillants sur tous les endpoints connectés Correctif disponible dans TrueConf Windows client version 8.5.3 (mars 2026) ⚔️ Déroulement de l’attaque L’attaquant compromet le serveur TrueConf on-premises d’un département IT gouvernemental Il remplace le paquet de mise à jour (trueconf_client.exe) par une version weaponisée Un lien est envoyé aux cibles pour déclencher le client TrueConf et afficher une invite de mise à jour Le paquet malveillant (construit avec Inno Setup) installe légitimement la version 8.5.2 tout en déposant : poweriso.exe (binaire bénin) 7z-x64.dll (implant malveillant) dans c:\programdata\poweriso\ DLL side-loading via poweriso.exe pour charger 7z-x64.dll 🛠️ Post-exploitation Reconnaissance : tasklist, tracert 8.8.8.8 Téléchargement via FTP depuis 47.237.15[.]197 d’un loader iscsiexe.dll dans update.7z Bypass UAC via iscsicpl.exe (SysWOW64) et DLL search-order hijacking Modification du PATH utilisateur : HKCU\environment Persistance via HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck pointant vers PowerISO.exe Déploiement final d’un implant Havoc communiquant avec l’infrastructure C2 de l’acteur 🎯 Attribution Check Point Research attribue avec confiance modérée cette opération à un acteur à nexus chinois, sur la base de : ...

🔍 Contexte Publié le 30 mars 2026 par Check Point Research, ce rapport détaille l’Opération TrueChaos, une campagne d’espionnage ciblée découverte début 2026. L’attaque exploite une vulnérabilité zero-day (CVE-2026-3502, CVSS 7.8) dans le client Windows de TrueConf, une plateforme de vidéoconférence déployée dans des environnements gouvernementaux, de défense et d’infrastructure critique. 🎯 Vecteur d’attaque Les attaquants ont compromis un serveur TrueConf on-premises opéré par une organisation IT gouvernementale, puis ont remplacé une mise à jour légitime du client par une mise à jour malveillante. Le client TrueConf ne vérifiait pas suffisamment l’intégrité ou l’authenticité du paquet de mise à jour avant exécution, permettant ainsi : ...

🔍 Contexte Publié le 25 mars 2026 par la CyberProof Research Team (Niranjan Jayanand, Veena Sagar, Karthik Joseph, Archana Manoharan), cet article présente une analyse technique approfondie d’une campagne PXA Stealer observée au Q1 2026, ciblant principalement des institutions financières mondiales. 📈 Contexte de la menace Suite aux démantèlements en 2025 des infostealers majeurs (Lumma, Rhadamanthys, RedLine), PXA Stealer a comblé le vide laissé avec une croissance estimée de 8 à 10%. Cette campagne présente des différences par rapport aux recherches publiques précédentes d’août 2025, notamment via le cluster identifié par le BOT_ID « Verymuchxbot ». ...

Le groupe ransomware LeakNet ajoute ClickFix via des sites légitimes compromis et un loader Deno en mémoire comme nouvelles méthodes d’accès initial, tout en conservant une chaîne post-exploitation identique. 🔍 Contexte Publié le 21 mars 2026 par ReliaQuest (auteurs : Joseph Keyes et Daxton Wirth), ce rapport de threat intelligence analyse les évolutions tactiques du groupe ransomware LeakNet, qui intensifie ses opérations en adoptant de nouvelles méthodes d’accès initial. 🎯 Nouvelles méthodes d’accès initial LeakNet a ajouté deux nouvelles techniques à son arsenal : ...

BlueVoyant rapporte, via son SOC, la découverte d’un nouveau backdoor (A0Backdoor) utilisé dans des opérations d’usurpation Microsoft Teams et d’abus de Quick Assist, actives au moins d’août 2025 à fin février 2026. Le cœur de l’évolution est un canal C2 DNS basé sur des enregistrements MX. Le malware génère des sous-domaines à forte entropie par requête (portant des métadonnées de beacon), envoie des requêtes MX, puis décode la gauche du label “exchange” retourné par l’autorité DNS, où sont encodées les commandes/configurations via un alphabet alphanumérique sûr pour les domaines. L’usage de MX vise à se fondre dans le trafic légitime et à éviter les contrôles focalisés sur le tunnel DNS TXT. Les endpoints ne contactent que des resolveurs publics de confiance (ex. 1.1.1.1, 8.8.8.8), les réponses étant servies par des zones autoritatives contrôlées par l’attaquant (self-hosted ns1/ns2 ou Cloudflare) 🎯. ...

Selon Microsoft (Security Blog), Microsoft Defender Experts a identifié mi-janvier 2026 une campagne de vol d’identifiants attribuée à l’acteur cybercriminel Storm-2561, actif depuis mai 2025, qui abuse du SEO pour rediriger les utilisateurs vers de faux sites de téléchargement de VPN d’entreprise. L’attaque repose sur du SEO poisoning menant à des sites usurpant des marques de VPN d’entreprise (Pulse Secure/Ivanti, Fortinet, Sophos, GlobalProtect, Check Point, Cisco, SonicWall, WatchGuard). Le téléchargement pointe vers un dépôt GitHub malveillant (désactivé depuis) hébergeant une archive ZIP contenant un MSI se faisant passer pour un installateur légitime. À l’exécution, le MSI installe des binaires dans un chemin imitant Pulse Secure (%CommonFiles%\Pulse Secure) et side‑load des DLL malveillantes (dwmapi.dll, inspector.dll). ...

Selon ThreatLabz, un acteur APT présumé lié à l’Iran, nommé Dust Specter, cible des officiels gouvernementaux en Irak avec une campagne utilisant de nouveaux malwares nommés SPLITDROP, TWINTASK, TWINTALK et GHOSTFORM. L’analyse détaille deux chaînes d’attaque observées en conditions réelles, l’une basée sur une architecture scindée (worker + orchestrateur C2) et l’autre consolidée dans un binaire unique. 🧪 Chaîne d’attaque 1 (SPLITDROP → TWINTASK → TWINTALK). Un RAR protégé par mot de passe (« mofa-Network-code.rar ») livre un dropper .NET déguisé en WinRAR (SPLITDROP). Après saisie du mot de passe, SPLITDROP déchiffre une ressource chiffrée en AES‑256‑CBC avec PBKDF2 (HMAC‑SHA1, 10 000 itérations, clé 256 bits), écrit un ZIP puis extrait dans C:\ProgramData\PolGuid\, et exécute un VLC.exe légitime pour déclencher un sideloading de DLL. Le DLL malveillant libvlc.dll (TWINTASK) agit comme module worker : il boucle toutes les 15 s, lit in.txt, décale le premier caractère, décode en Base64, et exécute le script via PowerShell (timeout 600 s), en journalisant vers out.txt. La persistance est ajoutée via HKCU...\Run (clés VLC et WingetUI). Le binaire légitime WingetUI.exe est lancé et sideloade hostfxr.dll (TWINTALK), l’orchestrateur C2. ...

Source et contexte: Microsoft Security Blog (Microsoft Defender Security Research) décrit des campagnes de phishing exploitant le mécanisme standard de redirection d’OAuth afin de contourner les défenses et livrer des malwares, avec des cibles incluant des organisations gouvernementales et du secteur public. Résumé de la technique: Des applications OAuth malveillantes, créées dans des tenants contrôlés par l’attaquant, déclarent des URI de redirection pointant vers des domaines malveillants. Des emails de phishing intègrent des URLs OAuth (Microsoft Entra ID/Google) manipulant notamment prompt=none et des scopes invalides pour provoquer un échec d’autorisation et une redirection d’erreur vers l’infrastructure de l’attaquant, sans vol de jetons. Le paramètre state est détourné pour transporter l’email de la victime (en clair, hex, Base64, schémas custom), et des cadres de phishing tels qu’EvilProxy sont utilisés après redirection. Les leurres incluent e-signatures, sécurité sociale, finances, politique, ainsi que PDF ou faux .ics de calendrier. ...