Campagne APT chinoise Twill Typhoon déploie le backdoor FDMTP v3.2.5 via DLL sideloading

Tue, 19 May 2026 00:00:00 +0000

🌐 Contexte

Darktrace a publié le 14 mai 2026 une analyse technique détaillée d’une campagne d’intrusion attribuée avec confiance modérée à Twill Typhoon, un acteur de menace à nexus chinois. La campagne cible principalement des environnements clients dans la région Asie-Pacifique & Japon (APJ), avec une activité observée depuis fin septembre 2025 jusqu’en avril 2026.

🎯 Vecteurs et méthodes d’attaque

La chaîne d’infection repose sur plusieurs techniques combinées :

Usurpation de CDN : les hôtes compromis émettent des requêtes HTTP GET vers des domaines imitant Yahoo et Apple (ex: yahoo-cdn.it.com)
DLL sideloading : un binaire légitime (ex: biz_render.exe de Sogou Pinyin IME) charge une DLL malveillante (browser_host.dll) portant le même nom que la DLL légitime attendue
AppDomain hijacking via ClickOnce : dfsvc.exe (moteur ClickOnce Windows) est utilisé avec un fichier .config malveillant pour forcer le chargement de dnscfg.dll
Exécution en mémoire : le loader utilise le CLR Windows pour exécuter des assemblies .NET directement en mémoire

🔧 Payload principal : FDMTP v3.2.5

Le payload central est dnscfg.dll (alias Client.TcpDmtp.dll), identifié comme une version mise à jour (3.2.5) du backdoor FDMTP. Il s’agit d’un RAT .NET modulaire fortement obfusqué qui :

Twill Typhoon on CyberVeille

Campagne APT chinoise Twill Typhoon déploie le backdoor FDMTP v3.2.5 via DLL sideloading

🌐 Contexte

🎯 Vecteurs et méthodes d’attaque

🔧 Payload principal : FDMTP v3.2.5