https://cyberveille.ch/tags/rsa-aes-hybrid-c2/ Recent content in RSA AES Hybrid C2 on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Wed, 22 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-22-analyse-technique-d-une-chaine-multi-etages-livrant-un-cobalt-strike-beacon-stageless/ Wed, 22 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-22-analyse-technique-d-une-chaine-multi-etages-livrant-un-cobalt-strike-beacon-stageless/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 22 avril 2026 par Joe Security LLC sur joesecurity.org, cet article présente une <strong>reconstruction technique complète d&rsquo;une chaîne d&rsquo;infection multi-étages</strong> aboutissant au déploiement d&rsquo;un <strong>Cobalt Strike Beacon stageless</strong>. L&rsquo;analyse a été conduite via Joe Sandbox Cloud Pro et le nouvel outil Joe Reverser.</p> <h2 id="-chaîne-dinfection">🧩 Chaîne d&rsquo;infection</h2> <p>L&rsquo;échantillon initial se présentait comme peu suspect mais dissimulait plusieurs couches d&rsquo;exécution :</p> <ul> <li><strong>Stage 1</strong> : Loader .NET (classe <code>CPLoadNET.Runner.cs</code>) avec mécanisme <strong>anti-sandbox</strong> vérifiant l&rsquo;appartenance à un domaine Active Directory</li> <li><strong>Stage 2</strong> : Payload chiffré (XOR + Base64), injecté dans un processus <strong><code>iexplore.exe</code> suspendu</strong> via process hollowing</li> <li><strong>Stage 3</strong> : Loader en mémoire qui résout les APIs, mappe les sections, corrige les relocations et transfère l&rsquo;exécution au <strong>beacon Cobalt Strike</strong> embarqué</li> </ul> <h2 id="-protocole-c2-et-cryptographie">🔐 Protocole C2 et cryptographie</h2> <p>Le beacon utilise un <strong>schéma cryptographique hybride</strong> :</p>