<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>KarstoRAT on CyberVeille</title>
    <link>https://cyberveille.ch/tags/karstorat/</link>
    <description>Recent content in KarstoRAT on CyberVeille</description>
    <generator>Hugo -- 0.146.0</generator>
    <language>fr-fr</language>
    <copyright>Cyberveille CC BY-NC-SA 4.0</copyright>
    <lastBuildDate>Sat, 11 Jul 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://cyberveille.ch/tags/karstorat/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>QuimaRAT : un nouveau RAT Java multiplateforme vendu en MaaS sur le dark web</title>
      <link>https://cyberveille.ch/posts/2026-07-11-quimarat-un-nouveau-rat-java-multiplateforme-vendu-en-maas-sur-le-dark-web/</link>
      <pubDate>Sat, 11 Jul 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-07-11-quimarat-un-nouveau-rat-java-multiplateforme-vendu-en-maas-sur-le-dark-web/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🔍 Contexte&lt;/h2&gt;
&lt;p&gt;Publié le 25 juin 2026 par les chercheurs Chen Aviani et Nikita Kazymirskyi de LevelBlue (SpiderLabs Blog), cet article présente l&amp;rsquo;analyse technique de &lt;strong&gt;QuimaRAT&lt;/strong&gt;, un nouveau &lt;strong&gt;Remote Access Trojan (RAT) écrit en Java&lt;/strong&gt;, ciblant simultanément &lt;strong&gt;Windows, macOS et Linux&lt;/strong&gt;.&lt;/p&gt;
&lt;h2 id=&#34;-description-du-malware&#34;&gt;🧩 Description du malware&lt;/h2&gt;
&lt;p&gt;&lt;strong&gt;QuimaRAT v2.0&lt;/strong&gt; est commercialisé sur un forum du dark web en tant que &lt;strong&gt;Malware-as-a-Service (MaaS)&lt;/strong&gt; avec les caractéristiques suivantes :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;70+ modules&lt;/strong&gt; disponibles&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Chiffrement AES256&lt;/strong&gt;&lt;/li&gt;
&lt;li&gt;Revendiqué comme &lt;strong&gt;FUD (Fully Undetectable)&lt;/strong&gt;&lt;/li&gt;
&lt;li&gt;Interface graphique (&lt;strong&gt;GUI panel&lt;/strong&gt;)&lt;/li&gt;
&lt;li&gt;Tarification par abonnement : 150 $ (1 mois), 300 $ (3 mois), 500 $ (6 mois), 700 $ (12 mois), 1 200 $ (accès à vie)&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-architecture-technique&#34;&gt;⚙️ Architecture technique&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;Organisé comme un &lt;strong&gt;projet Java modulaire Apache Maven&lt;/strong&gt; (deux fichiers &lt;code&gt;pom.xml&lt;/code&gt; distincts)&lt;/li&gt;
&lt;li&gt;Exécuté sur &lt;strong&gt;JVM Java SE 8&lt;/strong&gt; via une archive JAR&lt;/li&gt;
&lt;li&gt;Contient des &lt;strong&gt;bibliothèques natives JNA (Java Native Access)&lt;/strong&gt; pour Windows, Linux et macOS sur plusieurs architectures&lt;/li&gt;
&lt;li&gt;Chargement d&amp;rsquo;un fichier de configuration chiffré &lt;strong&gt;&lt;code&gt;config.dat&lt;/code&gt;&lt;/strong&gt; embarqué dans le JAR, déchiffré via une &lt;strong&gt;routine XOR à clé répétée&lt;/strong&gt;&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Vérification d&amp;rsquo;instance unique&lt;/strong&gt; via un fichier &lt;code&gt;.lock&lt;/code&gt; dans le répertoire temporaire de l&amp;rsquo;OS (Java &lt;code&gt;FileLock&lt;/code&gt;)&lt;/li&gt;
&lt;li&gt;Vérifications anti-virtualisation et anti-analyse spécifiques à l&amp;rsquo;OS avant exécution&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Mécanismes de persistance&lt;/strong&gt; spécifiques à chaque OS&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-communications-c2&#34;&gt;📡 Communications C2&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;Utilisation des commandes &lt;strong&gt;HANDSHAKE&lt;/strong&gt; et &lt;strong&gt;HEARTBEAT&lt;/strong&gt; pour maintenir des communications C2 résilientes&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;23 commandes implémentées&lt;/strong&gt; confirmées par analyse statique&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;212 commandes de protocole uniquement&lt;/strong&gt;, suggérant une capacité d&amp;rsquo;extension via modules runtime, binaires uploadés ou payloads fileless&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-type-darticle&#34;&gt;📄 Type d&amp;rsquo;article&lt;/h2&gt;
&lt;p&gt;Il s&amp;rsquo;agit d&amp;rsquo;une &lt;strong&gt;analyse technique&lt;/strong&gt; publiée par un laboratoire de recherche en sécurité, dont le but principal est de documenter les capacités, l&amp;rsquo;architecture et le fonctionnement de QuimaRAT pour la communauté CTI.&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
