Fast16

🗓️ Contexte Publié le 16 mai 2026 sur Zero Day (zetter-zeroday.com) par Kim Zetter, cet article s’appuie sur une nouvelle analyse publiée simultanément par la Threat Hunter Team de Symantec et l’Institute for Science and International Security (ISIS), confirmant et approfondissant une découverte initiale de SentinelOne. 🦠 Le malware Fast16 Fast16 est un malware compilé le 30 août 2005, découvert en 2019 par Juan Andres Guerrero-Saade (SentinelOne) après avoir été mentionné dans des outils NSA divulgués par les Shadow Brokers en 2017. Un échantillon avait été uploadé sur VirusTotal en octobre 2017. ...

🔍 Contexte Publié le 23 avril 2026 par SentinelLabs (Vitaly Kamluk & Juan Andrés Guerrero-Saade), cet article présente l’analyse technique approfondie d’un implant APT inédit nommé fast16, découvert dans les archives de la fuite ShadowBrokers. L’artefact daterait d’environ 2005, soit cinq ans avant la découverte publique de Stuxnet. 🧩 Composants de l’implant L’implant fast16 est constitué de deux éléments principaux : svcmgmt.exe : binaire porteur (carrier) écrit en C++, embarquant un payload Lua bytecode (magic bytes 1B 4C 75 61). Il gère la propagation via des « wormlets », vérifie la présence de firewalls personnels, et communique via un named pipe \.pipep577. fast16.sys : driver de système de fichiers Windows (type Start=0 Type=2), enregistré via IoRegisterFsRegistrationChange, interceptant les IRP (IRP_MJ_CREATE, IRP_MJ_READ, IRP_MJ_CLOSE, etc.) pour patcher à la volée des données en virgule flottante dans des fichiers ciblés. ⚙️ Mécanismes techniques Le carrier vérifie la présence de 18 solutions de sécurité (Symantec, Kaspersky, ZoneLabs, McAfee, F-Secure, etc.) via des clés de registre avant propagation. Le driver implémente un moteur de patching basé sur des règles : il recherche des patterns binaires spécifiques dans des fichiers .EXE et corrompt des calculs flottants de manière chirurgicale. Les artefacts compilateur (Intel Compiler, sections .xdata/.pdata) et les chaînes de version @(#)par.h $Revision: 1.3 $ permettent d’établir une filiation avec des projets internes. Le chemin PDB C:\buildy\driver\fd\i386\fast16.pdb confirme un environnement de build dédié. 🎯 Cibles identifiées L’analyse des patterns de patching identifie trois candidats logiciels cibles : ...

🔍 Contexte Publié le 23 avril 2026 par Andy Greenberg sur Wired, cet article rapporte la présentation des chercheurs Vitaly Kamluk et Juan Andrés Guerrero-Saade de SentinelOne à la conférence Black Hat Asia à Singapour. Ils y dévoilent leur analyse complète du malware Fast16, dont l’existence était connue depuis 2017 mais dont le fonctionnement réel était resté inexpliqué pendant 21 ans. 🧬 Découverte et historique 2005 : compilation du driver kernel Fast16.sys, date probable de création du malware 2017 : révélation de l’existence de Fast16 via la fuite des outils NSA par les Shadow Brokers, dans l’outil Territorial Dispute — avec la mention interne “NOTHING TO SEE HERE—CARRY ON” 2019 : Juan Andrés Guerrero-Saade retrouve un échantillon sur VirusTotal sous le nom svcmgmt.exe, contenant le driver Fast16.sys 2026 : Vitaly Kamluk procède au reverse engineering complet, révélant la véritable nature du malware ⚙️ Fonctionnement technique Fast16 n’est pas un rootkit comme supposé initialement (cinq outils IA de premier plan l’ont incorrectement classifié comme tel). Il s’agit d’un malware de sabotage à propagation automatique : ...