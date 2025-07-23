Balises
Sécurité

Hive0156 poursuit ses campagnes Remcos contre l’Ukraine

Deux hommes travaillant sur des ordinateurs dans une salle de serveurs

Auteurs

Joe Fasulo

Cyber Threat Researcher - IBM X-Force

Aaron Gdanski

Security Consultant, X-Force

Depuis le début du mois de juillet 2025, IBM X-Force surveille les campagnes actives de Hive0156 utilisant le cheval de Troie d’accès à distance (RAT) Remcos ciblant des victimes en Ukraine. Hive0156 est un acteur de la menace aligné sur la Russie qui cherche à compromettre des personnes au sein du gouvernement ou de l’armée ukrainienne. Les outils, tactiques et procédures (TTP) du groupe recoupent fortement ceux de l’acteur UAC-0184 du CERT-UA. Hive0156 diffuse des fichiers Microsoft LNK et PowerShell piégés, qui permettent de télécharger et d’exécuter Remcos RAT. X-Force a observé des documents leurres clés abordant des thèmes suggérant un ciblage de l’armée ukrainienne et une évolution vers un public potentiellement plus large.

Principales conclusions : 

  • Hive0156 continue de livrer Remcos RAT dans toute l’Ukraine
  • Les thèmes des documents leurres sont très pertinents pour le personnel militaire ukrainien.
  • L’accès aux infrastructures ukrainiennes reste une priorité clé pour les acteurs alignés sur la Russie

Analyse

Hive0156 est un acteur de la menace aligné sur la Russie qui utilise principalement des logiciels malveillants courants et des documents leurres pour orchestrer des cybercampagnes malveillantes en Ukraine. Signalé tout au long de l’année 2024, Hive0156 a ciblé les conversations Signal et le personnel militaire ukrainien en diffusant des fichiers LNK malveillants ou des scripts PowerShell, ce qui a entraîné des infections par Remcos. Le groupe utilise des thèmes de documents leurres très pertinents pour le personnel concerné par la posture opérationnelle de l’armée ukrainienne.

Thèmes avant la mi-2025

Jusqu’à la mi-2025, l’utilisation généralisée par Hive0156 de thèmes militaires pertinents pour les documents leurres suggère un intérêt prioritaire pour le ciblage des membres de l’armée ukrainienne. Les documents leurres utilisés dans les campagnes sont souvent des fichiers de données corrompus ou inutiles, mais ils révèlent des thèmes choisis par le groupe pour inciter les victimes à s’engager. Les noms de fichiers se trouvent souvent sous forme translittérée en russe ou en ukrainien. Vous trouverez ci-dessous les documents utilisés par Hive0156 dans ses opérations avant la mi-2025.

Pertes pendant la guerre

Capture d’écran de la vignette pour uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx

La33e brigade mécanisée est une brigade des forces terrestres ukrainiennes. Fin 2024, la 33e a participé à des opérations de combat à Kurakhove puis sur les lignes de front de Heorhiivka et Vuhledar. Le leurre est un document Excel fonctionnel non authentifié comportant divers indicateurs, communiquant généralement les niveaux des différentes ressources.

Capture d’écran d’un document ukrainien utilisé par Hive0156
Figure 1 : Document ukrainien utilisé par Hive0156

Contrôle de préparation du bataillon

Capture d’écran de la vignette pour Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx

Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx peut faire référence à un ordre de préparation et se rapporter éventuellement à la 33e brigade mécanisée. Le nom du fichier fait référence à la préparation du premier bataillon mécanisé, un bataillon officiel au sein de la 33e brigade.

En juin 2024, le CERT-UA a signalé que UAC-0184 avait livré des fichiers malveillants utilisant le thème de la 3e brigade d’assaut séparée de l’Ukraine, ce qui a donné lieu à des chaînes d’attaques similaires.

Calcul de la répartition du personnel

Capture d’écran de la vignette pour Rozrahunok_rozpodyl_operatyvnogo_skladu.doc

Une fois traduit, Rozrahunok_rozpodyl_operatyvnogo_skladu.doc fait référence à la répartition du personnel opérationnel. Compte tenu des thèmes de guerre récurrents, il est probable que cela fasse référence aux effectifs des troupes.

Emplacements possibles de l’ennemi

Capture d’écran de la vignette pour Pozicii_protivnika_zapad_i_yugo_zapad.xlsx

Pozicii_protivnika_zapad_i_yugo_zapad.xlsx est traduit du russe et est un document Excel fonctionnel. Le fichier est constitué de coordonnées correspondant à la province de Zanjan, en Iran. À l’inspection des coordonnées, les emplacements semblent consister principalement en terres agricoles proches de sources d’irrigation telles que la rivière Tikmeh Dash.

Fichier Excel avec des coordonnées correspondant au nord de l’Iran
Figure 2 : Fichier Excel avec des coordonnées correspondant au nord de l’Iran
Localisation générale des coordonnées dans le document leurre
Figure 3 : Emplacement général des coordonnées dans le document leurre

Thèmes de la mi-2025

À la mi-2025, X-Force observe des documents leurres en langue ukrainienne translittérée abordant des thèmes liés aux « pétitions », aux « lettres officielles » ou aux « refus formels ». Cela marque un changement par rapport à l’accent mis par le groupe sur les thèmes militaires, au profit d’un public plus large. Les documents leurres observés après la mi-2025 sont généralement corrompus ou remplis de données inutiles.

Chaîne d’attaque

Début juillet 2025, le groupe continue de livrer Remcos comme principale charge utile finale et a simplifié sa méthode de diffusion depuis 2024. Les campagnes récentes de Hive0156 commencent par un fichier LNK ou PowerShell de première étape piégé. Une fois exécutée, la première étape tente de contacter l’infrastructure de commande et de contrôle (C2) de l’acteur pour récupérer le document leurre et l’archive ZIP des fichiers malveillants. La communication avec le serveur C2 est filtrée par région géographique et par agent utilisateur attendu. Une fois la récupération réussie, le document leurre est présenté à l’utilisateur, mais il est souvent corrompu. En arrière-plan, une instance de Hijackloader (alias IDAT Loader) est exécuté et fournit Remcos RAT.

Exemple de chaîne d’attaques Hive0156
Figure 4 : Chaîne d’attaque Hive0156

Détails de la première étape

Dans les campagnes récentes, Hive0156 alterne ses infections de première phase entre des fichiers LNK ou PowerShell malveillants. Les fonctionnalités des deux types sont équivalentes. L’exécution de la première étape est critique pour la diffusion du logiciel malveillant de type loader, qui est téléchargé dans une archive ZIP.  Les deux types de première étape exécutent une chaîne d’infection HijackLoader en arrière-plan tout en présentant un document leurre à l’utilisateur.

L’une des principales différences entre les campagnes LNK et les campagnes de type PowerShell est l’envoi du document leurre. Dans les campagnes basées sur le LNK, deux requêtes C2 distinctes sont lancées pour télécharger le document leurre et l’archive ZIP HijackLoader. Dans les campagnes basées sur PowerShell, une seule demande de téléchargement du fichier ZIP HijackLoader est lancée, et celui-ci contient le document leurre. Cette distinction peut aider les défenseurs de réseau à identifier le type d’infection de première étape rencontré.

Détails de HijackLoader (alias IDAT Loader)

L’exécution de HijackLoader sert de mécanisme de distribution de Remcos pour le groupe. Également connu sous le nom d’IDAT Loader, HijackLoader référence des fichiers de données co-localisés dans le ZIP de première étape pour déchiffrer la charge utile finale – Remcos.

L’acteur de la menace regroupe HijackLoader dans un fichier ZIP. Les fichiers ZIP HijackLoader contiennent plusieurs composants, qui doivent tous être présents pour continuer la chaîne d’infection.

Exemple de fichiers ZIP HijackLoader contenant plusieurs composants, tous nécessaires pour poursuivre la chaîne d’infection.

Les composants suivants sont normalement présents dans un fichier ZIP HijackLoader :

  • Un exécutable légitime généralement signé par un certificat valide. (Dans ce cas, PortRemo.exe)
  • Des fichiers DLL légitimes sont nécessaires pour exécuter l’exécutable légitime. (Dans ce cas, Tools.dll)
  • Un fichier DLL patché contenant du code qui charge les étapes ultérieures de HijackLoader. (Dans ce cas, sqlite3.dll)
  • Un fichier PNG qui contient les modules chiffrés et la charge utile finale pour HijackLoader. Le fichier PNG est généralement nommé de manière aléatoire. (Dans ce cas, Churtseechang.vky)
  • Un fichier contenant un shellcode chiffré, dont le nom est également aléatoire. (Dans ce cas, Weertijeegdoob.jm)

Dans cet exemple, les fichiers relatifs à HijackLoader ont été regroupés dans un fichier ZIP nommé premo.zip.  L’exécutable légitime PortRemo.exe est exécuté par le fichier LNK initial, qui charge la DLL modifiée malveillante sqlite3.dll.

L’image suivante montre la table d’importation pour PortRemo.exe.  À un moment donné pendant l’exécution, l’une de ces fonctions sera appelée et conduira finalement au code malveillant dans sqlite3.dll.

Capture d’écran de la table d’importation pour PortRemo.exe

Dans cet exemple, sqlite3_result_text16() est la fonction malveillante. HijackLoader utilisera la table d’exportation afin d’empêcher IDA d’analyser correctement le fichier.

Exemple montrant sqlite3_result_text16() comme fonction malveillante

La DLL modifiée lira et déchiffrera le shellcode de première étape pour HijackLoader. Le shellcode déchiffré déchiffre le fichier PNG qui contient les composants HijackLoader. HijackLoader utilise divers modules pour améliorer ses fonctionnalités.

Le tableau suivant liste les modules connus ainsi que leurs fonctionnalités :

Nom

watsonx.data

AVDATA

Module de liste de blocage, qui vérifie les noms de processus connus pour être liés à des logiciels de sécurité.

ESAL

Exécute la charge utile finale.

ESLDR

Utilisé pour injecter et exécuter du shellcode lié à HijackLoader.

ESWR

Supprime le shellcode de la mémoire et exécute le module « rshell ».

FIXED

Un fichier exécutable légitime utilisé pour l’injection de processus.

LaunchLdr

Déchiffre le fichier PNG HijackLoader afin d’extraire tous les modules.

rshell

Configure la charge utile finale en mémoire et l’exécute.

ti

Effectue l’injection de code après la première étape.

tinystub

Un fichier PE vide utilisé pour les opérations de patching et d’injection.

tinyutilitymodule

Remplace les en-têtes PE des fichiers spécifiés par des octets nuls.

Une fois tous les modules terminés, HijackLoader injectera sa charge utile finale dans un processus distant.

Détails de Remcos

L’analyse par X-Force de la configuration Remcos de Hive0156 révèle peu de fonctionnalités activées. Cependant, cela ne signifie pas une diminution de la menace. La version de Remcos de Hive0156 est principalement configurée pour établir une communication avec l’infrastructure C2 du groupe et attendre périodiquement de nouvelles commandes. Le groupe semble mener plusieurs campagnes en parallèle et utilise assidûment la fonctionnalité d’identifiant de campagne de Remcos. Tout au long de l’année 2025, X-Force a observé les identifiants de campagne hmu2005, gu2005, ra2005 et ra2005new associés au groupe.

Remcos est un outil d’administration à distance développé par Breaking-Security.  Les détails sur ses fonctionnalités sont disponibles ici.

Lors de l’exécution, Remcos chargera sa configuration à partir d’un blob dans ses ressources. Une fois terminé, Remcos analysera sa configuration, ce qui déterminera les actions qu’il entreprendra pendant l’exécution.

Remcos accepte les paramètres de configuration suivants :

ID de configuration

Fonction

0x0

Contient les adresses C2.

0x1

Contient un identifiant pour la campagne.

0x2

Détermine la fréquence à laquelle Remcos doit se connecter au C2.

0x3

Installe Remcos une fois exécuté.  L’installation inclut le déplacement vers un emplacement spécifique.

0x4

0x5

Active la persistance à l’aide de HKLM et HKCU Software\Microsoft\Windows\CurrentVersion\Run

0x7

Taille de fichier maximale pour les données du keylogger avant la rotation.

0x8

Active la persistance à l’aide de la clé de registre HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

0x9

Répertoire où placer Remcos lors de l’installation.

0xA

Nom du fichier vers lequel déplacer Remcos lors de l’installation.

0xC

Active l’attribut de fichier caché et définit les fichiers associés en lecture seule.

0xE

Un nom de mutex.

0xF

Détermine si le keylogger est désactivé, entièrement activé ou activé uniquement pour certaines fenêtres.

0x10

Utilisé pour déterminer où sont stockés les keylogs.

0x11

Utilisé pour déterminer le nom de fichier des keylogs.

0x12

Contrôle le chiffrement RC4 pour les keylogs.

0x13

Contrôle le masquage des fichiers du keylogger.

0x14

Active ou désactive la fonctionnalité d’enregistrement d’écran.

0x15

Intervalle en minutes pour chaque capture d’écran.

0x16

N’enregistre des captures d’écran que pour des noms de fenêtres spécifiques si cette option est activée.

0x17

Noms des fenêtres pour l’option ci-dessus.

0x18

Intervalle de temps associé à la prise de captures d’écran de fenêtres spécifiques.

0x19

Répertoire parent pour stocker les captures d’écran.

0x23

Active ou désactive l’enregistrement audio.

0x24

Durée en secondes pour chaque enregistrement audio.

0x25

Répertoire parent dans lequel stocker les enregistrements audio.

0x26

Nom du dossier dans lequel stocker les enregistrements audio.

0x27

Désactive l’UAC dans le registre s’il est activé.

0x28

Mode de journalisation.  Utilisé pour activer ou désactiver la fenêtre de la console.

0x29

Délai en secondes pour la première tentative de connexion C2.

0x2A

Noms spécifiques de fenêtres pour la fonctionnalité de keylogging.

0x2B

Permet d’effacer le navigateur Web au démarrage. Remcos est capable de supprimer tous les cookies et identifiants d’Explorer, Chrome et Firefox selon les instructions de la configuration. Le but de cette fonctionnalité est de gêner les infostealers, et elle a probablement peu d’utilité pour un attaquant malveillant.

0x2C

Active le nettoyage du navigateur Web lors de la première exécution uniquement.

0x2D

Temps de veille en minutes avant d’effacer les navigateurs Web.

0x2E

Active ou désactive la fonctionnalité de contournement UAC.

0x30

Répertoire dans lequel installer Remcos.

0x31

Répertoire dans lequel stocker les keylogs.

0x32

Active la capacité de chien de garde (watchdog). Remcos s’injectera dans un second processus et surveillera son propre processus d’origine. La fonction principale est de redémarrer l’exécutable principal s’il est interrompu.

0x34

Numéro de licence Remcos.

0x35

Permet d’afficher le pointeur de la souris sur chaque capture d’écran réalisée.

0x36

Certificat TLS utilisé pour la communication C2.

0x37

Clé TLS utilisée pour la communication C2.

0x38

Certificat public TLS pour le C2.

Les indicateurs de configuration servent à déterminer si Remcos doit activer certaines fonctionnalités. Une fois que Remcos aura analysé sa configuration, il commencera à contacter les serveurs C2. Remcos peut accepter des commandes supplémentaires à partir de son serveur C2, notamment les suivantes :

ID de la commande

watsonx.data

0x1

Une commande ping.

0x2

Désactive l’envoi de paquets keep-alive.

0x3

Liste les applications installées.

0x6

Liste les processus en cours.

0x7

Met fin à un processus.

0x9

Ferme une fenêtre.

0xA

Affiche une fenêtre maximisée.

0xB

Affiche une fenêtre.

0xC

Termine un processus par son handle de fenêtre.

0xD

Exécute une commande shell.

0xE

Démarre un shell redirigé (piped).

0xF

Exécute un programme.

0x10

Envoie les captures d’écran vers le serveur C2.

0x11

Obtient l’adresse IP globale de l’hôte.

0x12

Obtient des informations via la fonctionnalité d’enregistreur de frappe (keylogger) hors ligne.

0x13

Démarre le keylogger en mode connecté.

0x14

Arrête le keylogger lorsqu’il est démarré en mode connecté.

0x15

Envoie les données du keylogger vers le C2.

0x16

Envoie les données du keylogger vers le C2.

0x17

Supprime les données du keylogger.

0x18

Efface les cookies et les identifiants de connexion du navigateur.

0x1B

Démarre le module d’enregistrement de la webcam.

0x1C

Arrête le module d’enregistrement de la webcam.

0x1D

Active le module d’enregistrement du microphone.

0x1E

Désactive le module d’enregistrement du microphone.

0x1F

Tente de voler des identifiants provenant de divers programmes. Utilise les utilitaires de récupération de mots de passe : https://www.nirsoft.net/ (lien externe à ibm.com).  

0x20

Supprime un fichier ou un dossier.

0x21

Met fin à son propre processus et au processus du chien de garde (watchdog).

0x22

Désinstalle Remcos du système.

0x23

Redémarre l’ordinateur.

0x24

Met à jour Remcos à partir d’une URL fournie.

0x25

Met à jour Remcos via le serveur C2.

0x26

Affiche une boîte de message.

0x27

Provoque l’arrêt du système ou sa mise en veille prolongée.

0x28

Envoie les données du presse-papiers vers le serveur C2.

0x29

Définit le contenu du presse-papiers avec les données fournies par le C2.

0x2A

Efface le presse-papiers.

0x2B

Charge et exécute une DLL depuis le C2.

0x2C

Charge et exécute une DLL à partir de l’URL fournie.

0x2F

Modifie le registre en fonction des valeurs fournies par le C2.

0x30

Semble permettre à l’attaquant de discuter avec la victime.

0x31

Définit l’identifiant de nom de Remcos.

0x32

Autorise l’utilisation et la gestion de proxys.

0x34

Permet à Remcos de gérer les services système.

0x8F

Recherche un fichier sur le système.

0x92

Définit le fond d’écran du système.

0x94

Définit le texte d’une fenêtre et liste les processus actifs ayant des fenêtres à l’aide de EnumWindows().

0x97

Envoie les résultats de la commande « dxdiag » vers le serveur C2.

0x98

Permet à Remcos de gérer des fichiers via des actions telles que la copie, le déplacement et la suppression.

0x99

Envoie les données de capture d’écran vers le C2.

0x9A

Récupère l’historique du navigateur Web à l’aide des exécutables Nirsoft.

0x9E

Lit un fichier audio « alarm.wav ».  Ce fichier est obtenu depuis le serveur C2.

0x9F

Active la lecture de « alarm.wav » lors de la déconnexion du C2.

0xA0

Désactive la lecture de « alarm.wav » lors de la déconnexion du C2.

0xA2

Télécharge « alarm.wav » depuis le serveur C2.

0xA3

Lit un fichier audio.

0xAB

Élève les privilèges d'un processus.

0xAC

Active la fenêtre de console de journalisation.

0xAD

Affiche la fenêtre de la console de journalisation.

0xAE

Masque la fenêtre de la console de journalisation.

0xB2

Injecte un exécutable dans un nouveau processus et l’exécute.

0xC5

Définit une valeur de registre.

0xC6

Envoie les cookies et les mots de passe du navigateur vers le C2.

0xC8

Suspend un processus.

0xC9

Reprend un processus.

0xCA

Lit un fichier et envoie son contenu au serveur C2.

0xCB

Écrit le contenu fourni par le C2 dans un fichier.

0xCC

Démarre le keylogger en mode déconnecté.

0xCD

Arrête le keylogger lorsqu’il est démarré en mode déconnecté.

0xCE

Liste les tables TCP et UDP d’un processus.

Comme indiqué plus haut, Remcos possède de nombreuses fonctionnalités, notamment l’administration à distance, l’exécution de charges utiles, la surveillance, la persistance et le vol d’informations. Remcos peut être utilisé par des administrateurs système légitimes ; cependant, il est également largement utilisé par divers acteurs de la menace. Les actions effectuées par Remcos sur un système sont principalement pilotées par la communication avec son serveur C2. Remcos inclut une interface graphique qui permet aux attaquants de gérer facilement plusieurs victimes au sein d’une même interface. L’interface graphique permet de créer des tâches automatisées ainsi que d’interagir manuellement avec l’implant Remcos sur un système victime.

Infrastructure et opérations

Hive0156 exploite un réseau de serveurs C2 dans le monde entier et tire probablement profit de l’indifférence des fournisseurs d’hébergement russes envers les opérations du groupe. X-Force a découvert que le groupe utilisait le géoblocage (geofencing) ciblant au moins l’Ukraine et le filtrage des en-têtes de requêtes dans le cadre de ses opérations de staging. Hive0156 déploie Remcos avec des fonctionnalités limitées activées, mais met continuellement à jour sa configuration depuis son C2. Cela peut indiquer une priorisation de l’accès dormant et une activation sélective de la collecte lors de nouvelles initiatives. Le maintien d’une connectivité ininterrompue entre les infections Remcos et l’infrastructure C2 du groupe est primordial pour conserver l'accès aux victimes.

Conclusion :

Hive0156 continue à mener des opérations malveillantes contre l’Ukraine. X-Force estime que le groupe continue de cibler le personnel militaire ukrainien mais qu’il fait évoluer ses documents leurres vers des thèmes plus généraux, ce qui suggère un vivier de victimes plus large. Les organisations et le personnel liés à l’armée ukrainienne ou associés à celle-ci courent un risque accru d'être ciblés par Hive0156.

Recommandations :

X-Force recommande les actions suivantes pour atténuer l’activité de Hive0156 :

  1. Formation et sensibilisation des utilisateurs : encouragez les utilisateurs à être prudents lorsqu’ils ouvrent des e-mails ou des messages instantanés, en particulier ceux contenant des pièces jointes, ou lorsqu’ils cliquent sur des liens. Demandez-leur de vérifier l’identité de l’expéditeur et de contrôler les extensions des fichiers avant de les ouvrir.
  2. Protection des points de terminaison : déployez un logiciel de protection des points de terminaison mis à jour, capable de détecter et de bloquer les souches de logiciels malveillants connues, comme Remcos, ainsi que les comportements suspects. Mettez régulièrement à jour les signatures de logiciels malveillants et les modèles de comportement.
  3. Segmentation du réseau : segmentez votre réseau pour limiter les mouvements latéraux en cas de compromission. Cela limite les dommages potentiels d’une infection réussie.
  4. Géoblocage : mettez en œuvre des règles de géoblocage pour empêcher les connexions à des serveurs C2 malveillants connus, en particulier ceux liés à Hive0156.
  5. Surveillance et analyse: surveillez et analysez régulièrement le trafic réseau pour détecter toute activité inhabituelle ou toute connexion à des adresses IP malveillantes connues. Utilisez des solutions d’analyse comportementale et de détection des anomalies.
  6. Gestion des correctifs : veillez à ce que tous les systèmes et applications disposent des derniers correctifs. De nombreux exploits utilisés par les acteurs de la menace tirent parti de vulnérabilités connues qui ont été corrigées.
  7. Plan de réponse aux incidents : élaborez et mettez à jour régulièrement un plan de réponse aux incidents. Cela vous permet de réagir rapidement et efficacement en cas de violation de données.
  8. Utilisation d’outils de sécurité : utilisez des outils de sécurité capables de détecter et de bloquer les scripts PowerShell malveillants et les fichiers LNK, car ce sont des mécanismes de distribution initiaux courants pour Hive0156.

Indicateurs de compromission

Indicateur

Type d’indicateur

Contexte

5.101.83[.]18

Adresse IP

C2

5.101.83[.]19

Adresse IP

C2

5.101.82[.]52

Adresse IP

C2

146.185.239[.]11

Adresse IP

C2

146.185.239[.]12

Adresse IP

C2

5.101.80[.]15

Adresse IP

C2

6637405265adc8b
bad328baacb7e67c51
7324d7ca3ab54d9749
8d8038e2a87f8

SHA256

LNK malveillant

46d633c2937eeca2
748435e51558898f8
4cf36fe75f841b35d6
f655082a7cce0

SHA256

LNK malveillant

14515e5498d3d3219e
6f06594aafbf449fc13
ae419d14a6676e449e
e3a107746

SHA256

LNK malveillant

37d2f3d3af2d564d6f9
ccf921cb4adc5390076
087342bf3f7d9f00b37
abbbf0d

SHA256

LNK malveillant

842d1e27d919a0ef568
c6de5a0dae5373ec5cf
02341307af9bab05fb4f
5b0805

SHA256

LNK malveillant

ccf6d3eaea549b8f1f02
5c27d8cec1a78d375c0
40d50745f5f9a837e50
0a83d6

SHA256

LNK malveillant

63e9fa71789996cf52b
431003f8b34275a9980
286a3fba156aeb6802d
f3b1ec1

SHA256

LNK malveillant

1f157d473ccfe51a22a0
bcaae84489dca2e16e
68645041ae761e2aa11
878f326

SHA256

LNK malveillant

002e2e591f324ebdfa2
abb443e03906595310
711436f62ed988e12ead
a3e35bb

SHA256

LNK malveillant

c38beb137b130c00b6
8b0bd620c603d360e
235954362ba8b1435d4
df4ff36ca6

SHA256

LNK malveillant

6cd56f7f1f8c7c422c672
7d323dac79092a82d3e
a0ba150525797f24688
d888a

SHA256

LNK malveillant

44448993bbe5931c62
f328d3cf75d5e791787c
8d35db79718a661504d
db3c5fb

SHA256

LNK malveillant

d9d26d19da539b0adc
8f0a4ab65d6b766d3f6
bec0e266baa6fd04c42
4ce77c9b

SHA256

LNK malveillant

7efbfd633d469405c66
c44226e0377adafa2428
e07f67b2684f21796c1ac
7312

SHA256

LNK malveillant

9b662720f48749f5b29d
a7b37e519a5088826a48
7e7a440cb5873e5f4ba0
94a2

SHA256

LNK malveillant

8556f07ceb37e726a66c
357cb3b76bba1eb13c21f
fe85fdb37685ecfd06205db

SHA256

LNK malveillant

9d95228173bf5f29bc3d2
6f19e2962ca65fab572095
aeafd955bde7df574ee9c

SHA256

LNK malveillant

6c5a89c3dd7b596fd1be
2aa88eddb3234bf6f006
638c9bb3e04c33f416d28
080

SHA256

LNK malveillant

2387e5e7f1eebfa1c27f95
7fa0f5dc2d7607e2e8b62
4e8fbed22dbb3258987e2

SHA256

PowerShell malveillant

2d69f5ac19a8f9d4989216
65961575a3ac8799348f8
eaa63217f20f1f913858e

SHA256

Hijackloader

e476331dee7ed59dca01
a6891305503c332f9a46
8f587c7001187052beeaec8f

SHA256

Hijackloader

fab5189c5025d7550dab
bafe61a4b2a3a9b6d1bd
880d21d0f5411f0fe530628e

SHA256

Hijackloader

f3b4d31644fb8607937a
10d791595ad997580b8e
2bec2f00059d308e0f1d6afc

SHA256

Hijackloader

a720d05cb33492b7526
8da9b854acb73b0158a2
07842a06b27f6897d0dc
32238

SHA256

Hijackloader

40325649ca85b3022d
dc517c20ea9c1e9ad44f4
91f051101474b2c775fff4b32

SHA256

Hijackloader

e2828abd351fef967f6d3
31d5fc3618fae186dec75d
b344aa10e4b0507a0f28a

SHA256

Remcos RAT

072a05492922f4a812ad
819b7f530c71844e607df
82b107388a98a82fab0aa03

SHA256

Remcos RAT

eabb395b925c39cd2199
cc3952b1cd83b8c0913b7
fd1eee985e48b7949c10c0b

SHA256

Remcos RAT

53fc03a7446f0b6dda8c4
906a661d81a796dcc3e981
fe2709542acf2e600ddb5

SHA256

Remcos RAT

6a4a79b885b5bcd8bbd
978d208e7f14d25c230a52
04ffeff365d5cee7b91a229

SHA256

Remcos RAT

068630c8edc29e424f19
072d7c9daebcb46699f0
4ba9ac00eee33395627
f33c7

SHA256

Remcos RAT

La solution de renseignements sur les menaces IBM X-Force Premier est désormais intégrée à OpenCTI par Filigran, fournissant des informations exploitables sur cette activité de menace et plus encore. Accédez aux informations sur les acteurs de la menace, les logiciels malveillants et les risques sectoriels. Installez le connecteur OpenCTI X-Force pour améliorer la détection et la réponse, en renforçant votre cybersécurité grâce à l’expertise d’IBM X-Force. Profitez d’un essai de 30 jours à IBM X-Force Premier Threat Intelligence dès aujourd’hui !
