fast16 : sabotage logiciel de haute précision découvert 5 ans avant Stuxnet

Fri, 24 Apr 2026 00:00:00 +0000

🔍 Contexte

Publié le 23 avril 2026 par SentinelLabs (Vitaly Kamluk & Juan Andrés Guerrero-Saade), cet article présente l’analyse technique approfondie d’un implant APT inédit nommé fast16, découvert dans les archives de la fuite ShadowBrokers. L’artefact daterait d’environ 2005, soit cinq ans avant la découverte publique de Stuxnet.

🧩 Composants de l’implant

L’implant fast16 est constitué de deux éléments principaux :

svcmgmt.exe : binaire porteur (carrier) écrit en C++, embarquant un payload Lua bytecode (magic bytes 1B 4C 75 61). Il gère la propagation via des « wormlets », vérifie la présence de firewalls personnels, et communique via un named pipe \.pipep577.
fast16.sys : driver de système de fichiers Windows (type Start=0 Type=2), enregistré via IoRegisterFsRegistrationChange, interceptant les IRP (IRP_MJ_CREATE, IRP_MJ_READ, IRP_MJ_CLOSE, etc.) pour patcher à la volée des données en virgule flottante dans des fichiers ciblés.

⚙️ Mécanismes techniques

Le carrier vérifie la présence de 18 solutions de sécurité (Symantec, Kaspersky, ZoneLabs, McAfee, F-Secure, etc.) via des clés de registre avant propagation.
Le driver implémente un moteur de patching basé sur des règles : il recherche des patterns binaires spécifiques dans des fichiers .EXE et corrompt des calculs flottants de manière chirurgicale.
Les artefacts compilateur (Intel Compiler, sections .xdata/.pdata) et les chaînes de version @(#)par.h $Revision: 1.3 $ permettent d’établir une filiation avec des projets internes.
Le chemin PDB C:\buildy\driver\fd\i386\fast16.pdb confirme un environnement de build dédié.

🎯 Cibles identifiées

L’analyse des patterns de patching identifie trois candidats logiciels cibles :

Fast16 : un malware de sabotage antérieur à Stuxnet ciblant potentiellement le programme nucléaire iranien

Fri, 24 Apr 2026 00:00:00 +0000

🔍 Contexte

Publié le 23 avril 2026 par Andy Greenberg sur Wired, cet article rapporte la présentation des chercheurs Vitaly Kamluk et Juan Andrés Guerrero-Saade de SentinelOne à la conférence Black Hat Asia à Singapour. Ils y dévoilent leur analyse complète du malware Fast16, dont l’existence était connue depuis 2017 mais dont le fonctionnement réel était resté inexpliqué pendant 21 ans.

🧬 Découverte et historique

2005 : compilation du driver kernel Fast16.sys, date probable de création du malware
2017 : révélation de l’existence de Fast16 via la fuite des outils NSA par les Shadow Brokers, dans l’outil Territorial Dispute — avec la mention interne “NOTHING TO SEE HERE—CARRY ON”
2019 : Juan Andrés Guerrero-Saade retrouve un échantillon sur VirusTotal sous le nom svcmgmt.exe, contenant le driver Fast16.sys
2026 : Vitaly Kamluk procède au reverse engineering complet, révélant la véritable nature du malware

⚙️ Fonctionnement technique

Fast16 n’est pas un rootkit comme supposé initialement (cinq outils IA de premier plan l’ont incorrectement classifié comme tel). Il s’agit d’un malware de sabotage à propagation automatique :

Fast16 on CyberVeille

fast16 : sabotage logiciel de haute précision découvert 5 ans avant Stuxnet

🔍 Contexte

🧩 Composants de l’implant

⚙️ Mécanismes techniques

🎯 Cibles identifiées

Fast16 : un malware de sabotage antérieur à Stuxnet ciblant potentiellement le programme nucléaire iranien

🔍 Contexte

🧬 Découverte et historique

⚙️ Fonctionnement technique