Analyse technique d'une chaîne multi-étages livrant un Cobalt Strike Beacon stageless
🔍 Contexte Publié le 22 avril 2026 par Joe Security LLC sur joesecurity.org, cet article présente une reconstruction technique complète d’une chaîne d’infection multi-étages aboutissant au déploiement d’un Cobalt Strike Beacon stageless. L’analyse a été conduite via Joe Sandbox Cloud Pro et le nouvel outil Joe Reverser. 🧩 Chaîne d’infection L’échantillon initial se présentait comme peu suspect mais dissimulait plusieurs couches d’exécution : Stage 1 : Loader .NET (classe CPLoadNET.Runner.cs) avec mécanisme anti-sandbox vérifiant l’appartenance à un domaine Active Directory Stage 2 : Payload chiffré (XOR + Base64), injecté dans un processus iexplore.exe suspendu via process hollowing Stage 3 : Loader en mémoire qui résout les APIs, mappe les sections, corrige les relocations et transfère l’exécution au beacon Cobalt Strike embarqué 🔐 Protocole C2 et cryptographie Le beacon utilise un schéma cryptographique hybride : ...