https://cyberveille.ch/tags/idatloader/ Recent content in IDATLoader on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 29 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-29-uac-0184-evolution-du-tooling-onedrive-sideload-vers-remcos-agent-7-1-0-pro/ Mon, 29 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-29-uac-0184-evolution-du-tooling-onedrive-sideload-vers-remcos-agent-7-1-0-pro/ <h2 id="-contexte">🔍 Contexte</h2> <p>Analyse technique publiée le 27 juin 2026 par Robin Dost sur le blog Synaptic Security, documentant l&rsquo;évolution du tooling de l&rsquo;acteur <strong>UAC-0184</strong> (également tracké sous MB-0005). L&rsquo;article fait suite à une précédente analyse de la même campagne et couvre un nouveau sample avec une chaîne d&rsquo;infection remaniée.</p> <h2 id="-vecteur-initial">📦 Vecteur initial</h2> <p>L&rsquo;archive initiale <strong><code>spisokszch.zip</code></strong> (SHA-256 : <code>c74bb6fb848cdb87c2b4261da1efc078023cdf95aa7b1436c52c26f3a11025af</code>) contient :</p> <ul> <li>Quatre fichiers <strong>LNK</strong> déguisés en images JPG et un fichier Excel</li> <li>Un fichier <code>README.txt</code> rédigé en <strong>ukrainien</strong> demandant à la victime d&rsquo;extraire les fichiers sur le bureau avant de les ouvrir</li> </ul> <p>Le contenu leurre est un <strong>tableau militaire ukrainien de cas d&rsquo;AWOL/désertion</strong> (39 soldats avec noms, grades, dates d&rsquo;absence, numéros de dossiers), ciblant explicitement une audience militaro-administrative ukrainienne.</p>