https://cyberveille.ch/tags/mqtt/ Recent content in MQTT on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Wed, 29 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-29-windowsaudit-un-rat-net-modulaire-utilisant-discord-comme-canal-c2-principal/ Wed, 29 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-29-windowsaudit-un-rat-net-modulaire-utilisant-discord-comme-canal-c2-principal/ <h2 id="-contexte">🔍 Contexte</h2> <p>En avril 2026, l&rsquo;équipe Profero IRT a identifié et analysé un backdoor .NET 8 nommé <strong>WindowsAudit.exe</strong> sur un hôte victime. L&rsquo;analyse a été publiée le 28 avril 2026 sur le blog de Profero. L&rsquo;activité a été signalée à la <strong>Direction nationale israélienne de la cybersécurité (INCD)</strong>. La campagne est considérée comme potentiellement en phase de préparation vers une <strong>opération ransomware de plus grande envergure</strong>.</p> <h2 id="-caractéristiques-du-binaire">🧬 Caractéristiques du binaire</h2> <ul> <li><strong>Nom</strong> : WindowsAudit.exe (version interne v1.5.77)</li> <li><strong>Type</strong> : RAT modulaire C# (.NET 8), single-file bundle natif</li> <li><strong>Taille</strong> : 101 Mo, non signé</li> <li><strong>Date de compilation</strong> : 19 mars 2026</li> <li><strong>Architecture</strong> : ~28 000 lignes de code C# avec séparation claire entre dispatch de commandes, transports C2 et modules fonctionnels</li> </ul> <h2 id="-architecture-c2-trois-canaux-indépendants">📡 Architecture C2 (trois canaux indépendants)</h2> <ul> <li><strong>Discord (primaire)</strong> : bot token hardcodé, gateway intents 33281, polling de deux canaux (tasking + résultats/transferts jusqu&rsquo;à 25 Mo), reconnexion avec back-off aléatoire 15–30 secondes</li> <li><strong>MQTT (secondaire)</strong> : broker HiveMQ Cloud public, port 8883 TLS, topics <code>remoteadmin/commands</code> et <code>remoteadmin/results</code>, client ID format <code>ra-agent-{MachineName}-{short-guid}</code></li> <li><strong>Telegram (optionnel)</strong> : ensemble de commandes réduit (ping, exec, ps, screenshot, etc.)</li> </ul> <h2 id="-mécanismes-de-persistance">🔒 Mécanismes de persistance</h2> <ul> <li>Service Windows <strong>WindowsAudit</strong> (LocalSystem, démarrage auto, récupération sur échec)</li> <li>Abonnement WMI</li> <li>Exclusion Windows Defender via <code>Add-MpPreference</code></li> <li>Sauvegarde dans <code>%CommonProgramData%\Microsoft\Windows\WinSAT\WinSATTemp.exe</code></li> <li>Clés de registre Run : <code>WinSATService</code> et <code>WindowsAuditSvc</code> sous <code>HKCU\...\CurrentVersion\Run</code></li> <li>Tâche planifiée <strong>RemoteAdminEdrCleanup</strong> (déclenchée au démarrage en Safe Mode)</li> <li>Mutex : <code>Global\WindowsAuditSingleInstance</code></li> </ul> <h2 id="-dropper-compagnon--winsatsvc">🐾 Dropper compagnon : WinSATSvc</h2> <p>Un second binaire .NET 8 (<strong>WinSATSvc.exe</strong>) se fait passer pour le service légitime Windows System Assessment Tool. Il vérifie toutes les 3 minutes si l&rsquo;agent principal tourne, et si non, récupère des chunks GZip depuis Discord pour reconstituer et relancer <strong>WinSATTemp.exe</strong> (copie fraîche de l&rsquo;agent principal).</p>