ImageKing - stock.adobe.com
De LockBit à DragonForce en passant par RansomHub : sur les traces d'Evil Corp
C'est un outil spécifique utilisé à des fins de persistance après l'intrusion initiale qui a trahi l'arrivée d'Evil Corp dans les rangs de DragonForce, après un passage par RansomHub et avant cela LockBit.
Les équipes d'Infoguard sont récemment récemment intervenues en réponse à un cyberattaque impliquant l'enseigne de rançongiciel DragonForce. L'occasion de découvrir que l'assaillant avait utilisé la porte dérobée ViperTunnel, écrite en Python, pour assurer sa persistance après l'accès initial. Une signature.
« D'après les recherches menées par Google Threat Horizons et GuidePoint Security, nous estimons que cette porte dérobée Python est liée à UNC2165 et à Evil Corp », indique les équipes d'Infoguard dans leur rapport.
Les recherches indiquent un lien étroit entre les activités du groupe UNC2165 et les entités historiquement associées à Evil Corp. Selon Google, « UNC2165 présente des similitudes notables avec les opérations publiquement attribuées à Evil Corp, notamment une forte dépendance aux infections FAKEUPDATES pour obtenir l'accès initial aux victimes ».
Les équipes de Google voient là le signe d'une transition d'UNC2165 vers des modèles de type Ransomware-as-a-Service (RaaS) plus robustes, délaissant leurs outils propriétaires pour des franchises comme LockBit ou RansomHub afin d'optimiser leurs ressources et de compliquer l'attribution.
L'architecture du chaos : De la backdoor Python au sabotage des sauvegardes
Le mode opératoire technique repose sur une discrétion extrême et une utilisation détournée de l'environnement système. L'infection débute souvent par un vecteur de type FAKEUPDATES, suivi du déploiement d'une persistance via Python. Une technique particulièrement ingénieuse a été identifiée : l'utilisation du module `sitecustomize.py` pour forcer l'exécution de code malveillant dès le démarrage de l'interpréteur Python, sans aucun argument en ligne de commande, rendant la détection par les outils classiques plus complexe.
Une fois la persistance établie, VIPERTUNNEL crée un proxy SOCKS5 sortant vers un serveur de commande et de contrôle (C2), utilisant le port 443 pour se fondre dans le trafic HTTPS légitime.
Stratégies de défense et résilience opérationnelle
Côté défense, la surveillance doit ainsi notamment se porter sur les comportements atypiques des interpréteurs de scripts. Le contrôle strict des flux vers les services cloud apparaît également impératif.
L'utilisation d'outils comme Rclone pour la synchronisation de fichiers doit être également surveillée et restreinte aux seuls comptes et destinations autorisés. Enfin, la résilience repose sur l'isolation des sauvegardes et la mise en place de politiques d'accès contextuelles pour limiter les déplacements latéraux vers les infrastructures critiques de stockage.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
Axios compromis : l’impact d’une intrusion nord-coréenne sur la chaîne logistique
Par: Valéry Rieß-Marchive
-
![]()
Cybercriminalité : le trésor américain impose des sanctions à un hébergeur « bulletproof »
Par: Valéry Rieß-Marchive
-
![]()
Campagne Salesloft : Zscaler, Palo Alto, Cloudflare et BeyondTrust allongent la liste des victimes
Par: Valéry Rieß-Marchive
-
![]()
Cybercriminalité : sanctions et saisie d’infrastructure
Par: Valéry Rieß-Marchive
