https://cyberveille.ch/tags/evilcorp/ Recent content in EvilCorp on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Tue, 14 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-14-vipertunnel-analyse-approfondie-du-backdoor-python-socks5-lie-a-unc2165-evilcorp/ Tue, 14 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-14-vipertunnel-analyse-approfondie-du-backdoor-python-socks5-lie-a-unc2165-evilcorp/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 9 avril 2026 par Evgen Blohm (InfoGuard Labs), cet article est issu d&rsquo;une investigation de réponse à incident liée à une attaque <strong>DragonForce ransomware</strong>. Lors de la revue de persistance, un artefact inhabituel a été identifié : une tâche planifiée nommée <code>523135538</code> exécutant <code>C:\ProgramData\cp49s\pythonw.exe</code> sans arguments.</p> <h2 id="-mécanisme-de-persistance-et-chargement">🧩 Mécanisme de persistance et chargement</h2> <p>La persistance repose sur <strong><code>sitecustomize.py</code></strong>, un module Python auto-importé au démarrage. Ce fichier utilise <code>ctypes</code> pour appeler <code>Py_GetArgcArgv</code> et vérifier le contexte d&rsquo;exécution. Si <code>argc == 1</code>, il charge et exécute <strong><code>b5yogiiy3c.dll</code></strong> (un script Python déguisé en DLL) via <code>runpy.run_path()</code>.</p>