https://cyberveille.ch/tags/phantomclr/ Recent content in PhantomCLR on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 24 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-24-operation-phantomclr-hijacking-appdomainmanager-et-execution-net-en-memoire-ciblant-le-moyen-orient/ Fri, 24 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-24-operation-phantomclr-hijacking-appdomainmanager-et-execution-net-en-memoire-ciblant-le-moyen-orient/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 17 avril 2026 par CYFIRMA, ce rapport présente l&rsquo;analyse technique approfondie d&rsquo;un framework post-exploitation avancé baptisé <strong>Operation PhantomCLR</strong>, ciblant des organisations du <strong>Moyen-Orient et du secteur financier EMEA</strong>.</p> <h2 id="-vecteur-dinfection">🎯 Vecteur d&rsquo;infection</h2> <p>L&rsquo;attaque débute par un <strong>spear-phishing</strong> livrant une archive ZIP contenant six composants :</p> <ul> <li><code>IAStorHelp.exe</code> — binaire Intel légitime et signé</li> <li><code>IAStorHelp.exe.config</code> — fichier de configuration CLR weaponisé</li> <li><code>IAStorHelpMosquitoproof.dll</code> — DLL .NET malveillante</li> <li><code>setting.yml</code> — payload chiffré AES</li> <li><code>Work From Home Policy Update.pdf.lnk</code> — déclencheur LNK masqué en PDF</li> <li>Un PDF leurre en arabe imitant un document officiel du gouvernement saoudien</li> </ul> <p>Le fichier LNK utilise une <strong>double extension (.pdf.lnk)</strong> et résout l&rsquo;icône PDF de Microsoft Edge pour tromper la victime. Le PDF leurre imite un document du <strong>Ministère saoudien</strong> avec formatage officiel, calendrier hégirien et typographie arabe authentique.</p>