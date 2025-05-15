Une technique similaire a déjà été décrite par le NCC Group.

En novembre 2022, LAC a signalé un variant Claimloader visant probablement des organisations gouvernementales aux Philippines dans une chaîne d’infection presque identique à celle de 2023-2024 détaillée dans les sections précédentes. Le variant stocke sa charge utile sous forme de blocs de 32 octets de chaînes de pile cryptées, avant de les déchiffrer individuellement. Il copie également l’exécutable légitime et le DLL Claimloader dans un nouveau répertoire avant de tenter d’établir la persistance via le registre ou les tâches planifiées, en faisant ainsi un installateur en plus d’un chargeur.

Lors de l’exécution, le logiciel malveillant commence par créer un mutex codé en dur afin de s’assurer qu’une seule instance de Claimloader est en cours d’exécution. Ensuite, il vérifie la présence d’un argument spécifique en ligne de commande, qui n’est pas présent lors de la première exécution. Si c’est le cas, Claimloader copiera à la fois l’EXE et la DLL dans un nouveau répertoire discret, souvent sous "C:\ProgramData\", en imitant un répertoire de logiciel tel que :

C:\ProgramData\NVIDIACorporatione\

C:\ProgramData\NVIDIACorporation\

C:\ProgramData\jxbrowserEdgeBLA\

C:\ProgramData\jxbrowserEdgeIDWT\

C:\ProgramData\JxbrowserChromium\

C:\ProgramData\FastPerfPDF\

C:\ProgramData\NVIDIAFrameViewSDK\

Ce comportement est utilisé par la plupart des échantillons Claimloader les plus récents et peut également conduire à des exécutions en sandbox infructueuses.​​

Ensuite, le logiciel malveillant établit la persistance lors de la connexion en stockant le chemin de l’EXE avec l’argument de ligne de commande correct dans une nouvelle clé de registre portant à nouveau un nom de logiciel discret sous :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run