EtherHiding

🔍 Contexte En mars 2026, l’équipe Threat Response Unit (TRU) d’eSentire a détecté EtherRAT dans l’environnement d’un client du secteur Retail. Ce backdoor Node.js est lié par Sysdig à un groupe APT nord-coréen via des recoupements avec les TTPs de la campagne “Contagious Interview”. 🎯 Vecteur d’accès initial L’accès initial a été réalisé via ClickFix, exploitant une technique d’exécution indirecte de commandes : pcalua.exe (LOLBin) est utilisé pour exécuter mshta.exe Récupération d’un script HTA malveillant “shep.hta” depuis le site compromis www-flow-submission-management.shepherdsestates.uk Obfuscation de la ligne de commande via le caractère ^ Dans d’autres incidents, TRU observe principalement des arnaques IT Support via Microsoft Teams suivies de l’utilisation de QuickAssist. ...

Source et contexte: Expel (blog, Marcus Hutchins, 20 janv. 2026) publie une analyse technique de la campagne malware ClearFake/ClickFix, active sur des centaines de sites compromis et axée sur l’évasion défensive. • Ce que fait ClearFake: framework JavaScript malveillant injecté sur des sites piratés, affichant un faux CAPTCHA “ClickFix” qui incite l’utilisateur à faire Win+R puis à coller/valider une commande, déclenchant l’infection. La chaîne JS est obfusquée et prépare des charges ultérieures. ...

Source et contexte: Mandiant (Google Threat Intelligence Group) publie une analyse technique montrant, pour la première fois selon GTIG, l’adoption d’EtherHiding par un acteur étatique, UNC5342 (Corée du Nord), dans une campagne active depuis février 2025 (liée à « Contagious Interview »). La chaîne d’infection s’appuie sur les malwares JADESNOW (downloader) et INVISIBLEFERRET.JAVASCRIPT (backdoor), avec des objectifs de vol de cryptomonnaies et espionnage. Comment fonctionne EtherHiding 🧩: la technique consiste à stocker/récupérer des charges malveillantes via des blockchains publiques (BNB Smart Chain, Ethereum), utilisées comme C2 résilient. ...