NetSupport RAT

GBHackers rapporte, sur la base des analyses d’Insikt Group, que le groupe financierement motivé “GrayCharlie” (recoupé avec SmartApeSG) détourne des sites WordPress légitimes afin de diffuser NetSupport RAT, puis Stealc et SectopRAT, au moyen de faux écrans de mise à jour de navigateur et de flux ClickFix. Le groupe opère depuis mi‑2023 et recycle des chaînes d’infection, clés de licence et schémas de certificats TLS récurrents. 🧑‍💻 Vecteur et chaîne d’infection: ...

L’article publié par Insikt Group le 13 juin 2025 révèle de nouvelles infrastructures associées à GrayAlpha, un acteur de la menace lié au groupe FIN7. Ce groupe utilise des domaines pour la distribution de charges utiles et des adresses IP supplémentaires qui leur sont associées. Insikt Group a découvert un chargeur PowerShell personnalisé nommé PowerNet, qui décompresse et exécute NetSupport RAT. Un autre chargeur personnalisé, MaskBat, similaire à FakeBat mais obfusqué, a également été identifié. Trois méthodes principales d’infection ont été observées : des pages de mise à jour de navigateur factices, des sites de téléchargement 7-Zip factices, et le système de distribution de trafic TAG-124. ...