Rawpixel.com - stock.adobe.com
Ransomware : sur la trace de l'outillage d'un courtier en accès initial
Cheval de Troie furtif, Mistic s'invite vite Teams, prétextant des impératifs de support informatique. Il est utilisé au moins depuis le mois d'avril par un courtier en accès initial connu notamment pour fournir des acteurs du rançongiciel.
Le groupe d'accès initial (IAB) KongTuke, également connu sous le nom de Woodgnat, a déplacé son vecteur d'accès initial vers les chats externes de Microsoft Teams. Cette transition modifie la méthode par laquelle l'acteur pécuniairement motivé établit une présence dans les réseaux d'entreprise.
Auparavant, KongTuke utilisait des sites WordPress compromis pour délivrer des leurres basés sur le web, tels que ClickFix ou CrashFix. Aujourd'hui, l'acteur utilise des prétextes de support technique ou d'assistance informatique via des conversations Teams.
Cette approche capitalise sur la confiance inhérente à l'interface de collaboration. Un chat direct provenant d'un tenant externe apparaît dans l'interface utilisateur comme un message interne, réduisant ainsi la méfiance du destinataire. L'acteur maquille son nom d'affichage pour que l'expéditeur soit visuellement indiscernable d'un contact de support interne légitime.
Selon ReliaQuest, « KongTuke a délibérément déplacé une opération web fonctionnelle sur cette plateforme, ce qui signale probablement la direction de ce savoir-faire ». Ce déplacement offre trois avantages stratégiques : une friction plus faible que l'e-mail, une confiance accrue grâce à l'interface, et une infrastructure jetable. L'opérateur a d'ailleurs fait preuve de rapidité en faisant pivoter à travers cinq tenants Microsoft 365 en 45 jours, ce qui réduit la fiabilité des blocages basés sur les domaines ou les expéditeurs.
ModeloRAT : Résilience et vitesse d'exécution du nouveau cheval de Troie
À partir de là, l'assaillant déploie le cheval de Troie de contrôle à distance (RAT) ModeloRAT. Il est conçu pour une survivabilité maximale. L'ensemble de l'outil est construit pour résister aux tentatives de perturbation, se distinguant ainsi des tactiques de type « smash-and-grab ».
La chaîne d'attaque est remarquablement rapide. Dès qu'un utilisateur exécute une seule commande PowerShell, l'accès persistant est atteint en moins de cinq minutes. Le processus débute par l'exécution d'un environnement Python portable sous un binaire signé, ce qui masque l'activité. Le premier module lancé est un collecteur de reconnaissance qui pré-configure le contexte de l'hôte avant même l'entrée d'une commande par l'opérateur.
La résilience de ModeloRAT repose sur la redondance. L'outil utilise trois chemins de communication C2 indépendants sur des infrastructures distinctes. ReliaQuest explique que « le kit d'outils fonctionne avec trois chemins d'accès indépendants sur des infrastructures séparées, chacun capable de continuer à fonctionner lorsque les défenseurs perturbent les autres ». De plus, l'implant principal, Pmanager.py, est conçu pour échapper aux défenses basées sur les indicateurs, en faisant pivoter les serveurs et en utilisant des chemins d'URL aléatoires.
Le contexte comportemental de Mistic
Mistic est quant à lui un cheval de Troie furtif qui exécute des charges utiles directement en mémoire, sans écrire de fichier sur le disque, et inclut un kill switch. Cette exécution en mémoire contribue à sa faible visibilité et permet à l'opérateur de maintenir un accès discret sur le long terme, explique Symantec.
Le mécanisme de persistance est particulièrement sophistiqué, car il est étalé sur quatre déclencheurs distincts. Les trois premiers artefacts sont : une clé de registre Run, un raccourci dans le dossier de démarrage, et un lanceur VBScript. Ces éléments garantissent que ModeloRAT redémarre à chaque connexion.
La résilience ne s'arrête pas là. Sur les hôtes recevant des tâches post-exploitation, un quatrième mécanisme est ajouté : une tâche planifiée au niveau SYSTEM. L'implant de Mistic possède une routine d'auto-destruction qui supprime les trois premiers artefacts, mais elle ne vérifie pas ni ne supprime la tâche planifiée. Comme le souligne ReliaQuest, « la routine d'auto-destruction de l'implant supprime uniquement la clé Run, le raccourci de démarrage et le lanceur VBScript. Elle ne vérifie pas ou ne supprime pas la tâche planifiée ». Ce mécanisme assure que l'accès persiste même après un redémarrage ou après que l'opérateur ait cessé d'utiliser l'accès.
Symantec a observé le déploiement de ModeloRAT dans ces cyberattaques impliquant le ransomware Qilin. Mais Woodgnat, ou KongTuke, a aussi été associé à des activités d'acteurs liés aux enseignes de rançongiciel Interlock, Rhysida, Akira, 8base, et Black Basta.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
APT28 : l'exploitation des routeurs SOHO comme levier d'espionnage
Par: Valéry Rieß-Marchive
-
![]()
Storm-1175 : un spécialiste de l'exploitation de vulnérabilités au service de Medusa
Par: Valéry Rieß-Marchive
-
![]()
Axios compromis : l’impact d’une intrusion nord-coréenne sur la chaîne logistique
Par: Valéry Rieß-Marchive
-
![]()
Windows Server 2025 : ces différences à connaître avant de migrer
Par: Brien Posey
