QuimaRAT : un nouveau RAT Java multiplateforme vendu en MaaS sur le dark web

🔍 Contexte Publié le 25 juin 2026 par les chercheurs Chen Aviani et Nikita Kazymirskyi de LevelBlue (SpiderLabs Blog), cet article présente l’analyse technique de QuimaRAT, un nouveau Remote Access Trojan (RAT) écrit en Java, ciblant simultanément Windows, macOS et Linux. 🧩 Description du malware QuimaRAT v2.0 est commercialisé sur un forum du dark web en tant que Malware-as-a-Service (MaaS) avec les caractéristiques suivantes : 70+ modules disponibles Chiffrement AES256 Revendiqué comme FUD (Fully Undetectable) Interface graphique (GUI panel) Tarification par abonnement : 150 $ (1 mois), 300 $ (3 mois), 500 $ (6 mois), 700 $ (12 mois), 1 200 $ (accès à vie) ⚙️ Architecture technique Organisé comme un projet Java modulaire Apache Maven (deux fichiers pom.xml distincts) Exécuté sur JVM Java SE 8 via une archive JAR Contient des bibliothèques natives JNA (Java Native Access) pour Windows, Linux et macOS sur plusieurs architectures Chargement d’un fichier de configuration chiffré config.dat embarqué dans le JAR, déchiffré via une routine XOR à clé répétée Vérification d’instance unique via un fichier .lock dans le répertoire temporaire de l’OS (Java FileLock) Vérifications anti-virtualisation et anti-analyse spécifiques à l’OS avant exécution Mécanismes de persistance spécifiques à chaque OS 📡 Communications C2 Utilisation des commandes HANDSHAKE et HEARTBEAT pour maintenir des communications C2 résilientes 23 commandes implémentées confirmées par analyse statique 212 commandes de protocole uniquement, suggérant une capacité d’extension via modules runtime, binaires uploadés ou payloads fileless 📄 Type d’article Il s’agit d’une analyse technique publiée par un laboratoire de recherche en sécurité, dont le but principal est de documenter les capacités, l’architecture et le fonctionnement de QuimaRAT pour la communauté CTI. ...

11 juillet 2026 · 2 min
Dernière mise à jour le: 11 juillet 2026 📝