UAC-0184 : évolution du tooling OneDrive sideload vers Remcos Agent 7.1.0 Pro
🔍 Contexte Analyse technique publiée le 27 juin 2026 par Robin Dost sur le blog Synaptic Security, documentant l’évolution du tooling de l’acteur UAC-0184 (également tracké sous MB-0005). L’article fait suite à une précédente analyse de la même campagne et couvre un nouveau sample avec une chaîne d’infection remaniée. 📦 Vecteur initial L’archive initiale spisokszch.zip (SHA-256 : c74bb6fb848cdb87c2b4261da1efc078023cdf95aa7b1436c52c26f3a11025af) contient : Quatre fichiers LNK déguisés en images JPG et un fichier Excel Un fichier README.txt rédigé en ukrainien demandant à la victime d’extraire les fichiers sur le bureau avant de les ouvrir Le contenu leurre est un tableau militaire ukrainien de cas d’AWOL/désertion (39 soldats avec noms, grades, dates d’absence, numéros de dossiers), ciblant explicitement une audience militaro-administrative ukrainienne. ...