https://cyberveille.ch/tags/y2k-operators/ Recent content in Y2K Operators on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 29 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-29-millenium-rat-v4-migration-vers-c-maas-a-50-mois-62-000-endpoints-compromis/ Mon, 29 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-29-millenium-rat-v4-migration-vers-c-maas-a-50-mois-62-000-endpoints-compromis/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 25 juin 2026 par Group-IB (blog officiel), cet article présente une analyse technique approfondie du <strong>Millenium RAT version 4.</strong>*, un cheval de Troie d&rsquo;accès à distance (RAT) initialement documenté par CYFIRMA en novembre 2023 (version 2.4). L&rsquo;analyse couvre l&rsquo;évolution architecturale du malware, son modèle de distribution, les campagnes actives et la victimologie mondiale.</p> <h2 id="-évolution-architecturale-majeure">🏗️ Évolution architecturale majeure</h2> <p>La version 4.* marque un <strong>changement architectural critique</strong> : le malware abandonne le framework <strong>.NET</strong> au profit d&rsquo;une <strong>application native C++</strong>, supprimant toute dépendance au runtime .NET. La communication C2 repose exclusivement sur l&rsquo;<strong>API Telegram Bot</strong> via libcurl, sans infrastructure serveur dédiée. La configuration est chargée depuis une ressource PE embarquée (RCDATA), encodée en <strong>Base64</strong> et chiffrée via un <strong>algorithme XOR personnalisé</strong> avec mot de passe intégré dans le PE.</p>