Turla: analyse du loader Kazuar v3 (COM, sideloading MFC, contournements ETW/AMSI)
Dans un billet technique publié le 14 janvier 2026, l’auteur analyse la dernière version du loader Kazuar v3 attribué à Turla, faisant écho à une campagne évoquée par ESET (étiquette d’agent AGN-RR-01). Le point d’entrée est un VBScript (8RWRLT.vbs) qui crée des répertoires sous %LOCALAPPDATA%\Programs\HP\Printer\Driver, télécharge plusieurs fichiers depuis 185.126.255[.]132, exécute un exécutable HP signé (hpbprndi.exe) pour déclencher un DLL sideloading, et établit une persistance via une clé Run. Le script collecte ensuite des infos hôte (OS, uptime, archi CPU, nom machine/utilisateur/domaine, liste des processus, inventaire du dossier créé) et les envoie en POST vers /requestor.php. ...