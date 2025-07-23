Depuis le début du mois de juillet 2025, IBM X-Force surveille les campagnes actives de Hive0156 utilisant le cheval de Troie d’accès à distance (RAT) Remcos ciblant des victimes en Ukraine. Hive0156 est un acteur de la menace aligné sur la Russie qui cherche à compromettre des personnes au sein du gouvernement ou de l’armée ukrainienne. Les outils, tactiques et procédures (TTP) du groupe recoupent fortement ceux de l’acteur UAC-0184 du CERT-UA. Hive0156 diffuse des fichiers Microsoft LNK et PowerShell piégés, qui permettent de télécharger et d’exécuter Remcos RAT. X-Force a observé des documents leurres clés abordant des thèmes suggérant un ciblage de l’armée ukrainienne et une évolution vers un public potentiellement plus large.
Hive0156 est un acteur de la menace aligné sur la Russie qui utilise principalement des logiciels malveillants courants et des documents leurres pour orchestrer des cybercampagnes malveillantes en Ukraine. Signalé tout au long de l’année 2024, Hive0156 a ciblé les conversations Signal et le personnel militaire ukrainien en diffusant des fichiers LNK malveillants ou des scripts PowerShell, ce qui a entraîné des infections par Remcos. Le groupe utilise des thèmes de documents leurres très pertinents pour le personnel concerné par la posture opérationnelle de l’armée ukrainienne.
Jusqu’à la mi-2025, l’utilisation généralisée par Hive0156 de thèmes militaires pertinents pour les documents leurres suggère un intérêt prioritaire pour le ciblage des membres de l’armée ukrainienne. Les documents leurres utilisés dans les campagnes sont souvent des fichiers de données corrompus ou inutiles, mais ils révèlent des thèmes choisis par le groupe pour inciter les victimes à s’engager. Les noms de fichiers se trouvent souvent sous forme translittérée en russe ou en ukrainien. Vous trouverez ci-dessous les documents utilisés par Hive0156 dans ses opérations avant la mi-2025.
La33e brigade mécanisée est une brigade des forces terrestres ukrainiennes. Fin 2024, la 33e a participé à des opérations de combat à Kurakhove puis sur les lignes de front de Heorhiivka et Vuhledar. Le leurre est un document Excel fonctionnel non authentifié comportant divers indicateurs, communiquant généralement les niveaux des différentes ressources.
Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx peut faire référence à un ordre de préparation et se rapporter éventuellement à la 33e brigade mécanisée. Le nom du fichier fait référence à la préparation du premier bataillon mécanisé, un bataillon officiel au sein de la 33e brigade.
En juin 2024, le CERT-UA a signalé que UAC-0184 avait livré des fichiers malveillants utilisant le thème de la 3e brigade d’assaut séparée de l’Ukraine, ce qui a donné lieu à des chaînes d’attaques similaires.
Une fois traduit, Rozrahunok_rozpodyl_operatyvnogo_skladu.doc fait référence à la répartition du personnel opérationnel. Compte tenu des thèmes de guerre récurrents, il est probable que cela fasse référence aux effectifs des troupes.
Pozicii_protivnika_zapad_i_yugo_zapad.xlsx est traduit du russe et est un document Excel fonctionnel. Le fichier est constitué de coordonnées correspondant à la province de Zanjan, en Iran. À l’inspection des coordonnées, les emplacements semblent consister principalement en terres agricoles proches de sources d’irrigation telles que la rivière Tikmeh Dash.
À la mi-2025, X-Force observe des documents leurres en langue ukrainienne translittérée abordant des thèmes liés aux « pétitions », aux « lettres officielles » ou aux « refus formels ». Cela marque un changement par rapport à l’accent mis par le groupe sur les thèmes militaires, au profit d’un public plus large. Les documents leurres observés après la mi-2025 sont généralement corrompus ou remplis de données inutiles.
Début juillet 2025, le groupe continue de livrer Remcos comme principale charge utile finale et a simplifié sa méthode de diffusion depuis 2024. Les campagnes récentes de Hive0156 commencent par un fichier LNK ou PowerShell de première étape piégé. Une fois exécutée, la première étape tente de contacter l’infrastructure de commande et de contrôle (C2) de l’acteur pour récupérer le document leurre et l’archive ZIP des fichiers malveillants. La communication avec le serveur C2 est filtrée par région géographique et par agent utilisateur attendu. Une fois la récupération réussie, le document leurre est présenté à l’utilisateur, mais il est souvent corrompu. En arrière-plan, une instance de Hijackloader (alias IDAT Loader) est exécuté et fournit Remcos RAT.
Dans les campagnes récentes, Hive0156 alterne ses infections de première phase entre des fichiers LNK ou PowerShell malveillants. Les fonctionnalités des deux types sont équivalentes. L’exécution de la première étape est critique pour la diffusion du logiciel malveillant de type loader, qui est téléchargé dans une archive ZIP. Les deux types de première étape exécutent une chaîne d’infection HijackLoader en arrière-plan tout en présentant un document leurre à l’utilisateur.
L’une des principales différences entre les campagnes LNK et les campagnes de type PowerShell est l’envoi du document leurre. Dans les campagnes basées sur le LNK, deux requêtes C2 distinctes sont lancées pour télécharger le document leurre et l’archive ZIP HijackLoader. Dans les campagnes basées sur PowerShell, une seule demande de téléchargement du fichier ZIP HijackLoader est lancée, et celui-ci contient le document leurre. Cette distinction peut aider les défenseurs de réseau à identifier le type d’infection de première étape rencontré.
L’exécution de HijackLoader sert de mécanisme de distribution de Remcos pour le groupe. Également connu sous le nom d’IDAT Loader, HijackLoader référence des fichiers de données co-localisés dans le ZIP de première étape pour déchiffrer la charge utile finale – Remcos.
L’acteur de la menace regroupe HijackLoader dans un fichier ZIP. Les fichiers ZIP HijackLoader contiennent plusieurs composants, qui doivent tous être présents pour continuer la chaîne d’infection.
Les composants suivants sont normalement présents dans un fichier ZIP HijackLoader :
Dans cet exemple, les fichiers relatifs à HijackLoader ont été regroupés dans un fichier ZIP nommé premo.zip. L’exécutable légitime PortRemo.exe est exécuté par le fichier LNK initial, qui charge la DLL modifiée malveillante sqlite3.dll.
L’image suivante montre la table d’importation pour PortRemo.exe. À un moment donné pendant l’exécution, l’une de ces fonctions sera appelée et conduira finalement au code malveillant dans sqlite3.dll.
Dans cet exemple, sqlite3_result_text16() est la fonction malveillante. HijackLoader utilisera la table d’exportation afin d’empêcher IDA d’analyser correctement le fichier.
La DLL modifiée lira et déchiffrera le shellcode de première étape pour HijackLoader. Le shellcode déchiffré déchiffre le fichier PNG qui contient les composants HijackLoader. HijackLoader utilise divers modules pour améliorer ses fonctionnalités.
Le tableau suivant liste les modules connus ainsi que leurs fonctionnalités :
Nom
watsonx.data
AVDATA
Module de liste de blocage, qui vérifie les noms de processus connus pour être liés à des logiciels de sécurité.
ESAL
Exécute la charge utile finale.
ESLDR
Utilisé pour injecter et exécuter du shellcode lié à HijackLoader.
ESWR
Supprime le shellcode de la mémoire et exécute le module « rshell ».
FIXED
Un fichier exécutable légitime utilisé pour l’injection de processus.
LaunchLdr
Déchiffre le fichier PNG HijackLoader afin d’extraire tous les modules.
rshell
Configure la charge utile finale en mémoire et l’exécute.
ti
Effectue l’injection de code après la première étape.
tinystub
Un fichier PE vide utilisé pour les opérations de patching et d’injection.
tinyutilitymodule
Remplace les en-têtes PE des fichiers spécifiés par des octets nuls.
Une fois tous les modules terminés, HijackLoader injectera sa charge utile finale dans un processus distant.
L’analyse par X-Force de la configuration Remcos de Hive0156 révèle peu de fonctionnalités activées. Cependant, cela ne signifie pas une diminution de la menace. La version de Remcos de Hive0156 est principalement configurée pour établir une communication avec l’infrastructure C2 du groupe et attendre périodiquement de nouvelles commandes. Le groupe semble mener plusieurs campagnes en parallèle et utilise assidûment la fonctionnalité d’identifiant de campagne de Remcos. Tout au long de l’année 2025, X-Force a observé les identifiants de campagne hmu2005, gu2005, ra2005 et ra2005new associés au groupe.
Remcos est un outil d’administration à distance développé par Breaking-Security. Les détails sur ses fonctionnalités sont disponibles ici.
Lors de l’exécution, Remcos chargera sa configuration à partir d’un blob dans ses ressources. Une fois terminé, Remcos analysera sa configuration, ce qui déterminera les actions qu’il entreprendra pendant l’exécution.
Remcos accepte les paramètres de configuration suivants :
ID de configuration
Fonction
0x0
Contient les adresses C2.
0x1
Contient un identifiant pour la campagne.
0x2
Détermine la fréquence à laquelle Remcos doit se connecter au C2.
0x3
Installe Remcos une fois exécuté. L’installation inclut le déplacement vers un emplacement spécifique.
0x4
0x5
Active la persistance à l’aide de HKLM et HKCU Software\Microsoft\Windows\CurrentVersion\Run
0x7
Taille de fichier maximale pour les données du keylogger avant la rotation.
0x8
Active la persistance à l’aide de la clé de registre HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
0x9
Répertoire où placer Remcos lors de l’installation.
0xA
Nom du fichier vers lequel déplacer Remcos lors de l’installation.
0xC
Active l’attribut de fichier caché et définit les fichiers associés en lecture seule.
0xE
Un nom de mutex.
0xF
Détermine si le keylogger est désactivé, entièrement activé ou activé uniquement pour certaines fenêtres.
0x10
Utilisé pour déterminer où sont stockés les keylogs.
0x11
Utilisé pour déterminer le nom de fichier des keylogs.
0x12
Contrôle le chiffrement RC4 pour les keylogs.
0x13
Contrôle le masquage des fichiers du keylogger.
0x14
Active ou désactive la fonctionnalité d’enregistrement d’écran.
0x15
Intervalle en minutes pour chaque capture d’écran.
0x16
N’enregistre des captures d’écran que pour des noms de fenêtres spécifiques si cette option est activée.
0x17
Noms des fenêtres pour l’option ci-dessus.
0x18
Intervalle de temps associé à la prise de captures d’écran de fenêtres spécifiques.
0x19
Répertoire parent pour stocker les captures d’écran.
0x23
Active ou désactive l’enregistrement audio.
0x24
Durée en secondes pour chaque enregistrement audio.
0x25
Répertoire parent dans lequel stocker les enregistrements audio.
0x26
Nom du dossier dans lequel stocker les enregistrements audio.
0x27
Désactive l’UAC dans le registre s’il est activé.
0x28
Mode de journalisation. Utilisé pour activer ou désactiver la fenêtre de la console.
0x29
Délai en secondes pour la première tentative de connexion C2.
0x2A
Noms spécifiques de fenêtres pour la fonctionnalité de keylogging.
0x2B
Permet d’effacer le navigateur Web au démarrage. Remcos est capable de supprimer tous les cookies et identifiants d’Explorer, Chrome et Firefox selon les instructions de la configuration. Le but de cette fonctionnalité est de gêner les infostealers, et elle a probablement peu d’utilité pour un attaquant malveillant.
0x2C
Active le nettoyage du navigateur Web lors de la première exécution uniquement.
0x2D
Temps de veille en minutes avant d’effacer les navigateurs Web.
0x2E
Active ou désactive la fonctionnalité de contournement UAC.
0x30
Répertoire dans lequel installer Remcos.
0x31
Répertoire dans lequel stocker les keylogs.
0x32
Active la capacité de chien de garde (watchdog). Remcos s’injectera dans un second processus et surveillera son propre processus d’origine. La fonction principale est de redémarrer l’exécutable principal s’il est interrompu.
0x34
Numéro de licence Remcos.
0x35
Permet d’afficher le pointeur de la souris sur chaque capture d’écran réalisée.
0x36
Certificat TLS utilisé pour la communication C2.
0x37
Clé TLS utilisée pour la communication C2.
0x38
Certificat public TLS pour le C2.
Les indicateurs de configuration servent à déterminer si Remcos doit activer certaines fonctionnalités. Une fois que Remcos aura analysé sa configuration, il commencera à contacter les serveurs C2. Remcos peut accepter des commandes supplémentaires à partir de son serveur C2, notamment les suivantes :
ID de la commande
watsonx.data
0x1
Une commande ping.
0x2
Désactive l’envoi de paquets keep-alive.
0x3
Liste les applications installées.
0x6
Liste les processus en cours.
0x7
Met fin à un processus.
0x9
Ferme une fenêtre.
0xA
Affiche une fenêtre maximisée.
0xB
Affiche une fenêtre.
0xC
Termine un processus par son handle de fenêtre.
0xD
Exécute une commande shell.
0xE
Démarre un shell redirigé (piped).
0xF
Exécute un programme.
0x10
Envoie les captures d’écran vers le serveur C2.
0x11
Obtient l’adresse IP globale de l’hôte.
0x12
Obtient des informations via la fonctionnalité d’enregistreur de frappe (keylogger) hors ligne.
0x13
Démarre le keylogger en mode connecté.
0x14
Arrête le keylogger lorsqu’il est démarré en mode connecté.
0x15
Envoie les données du keylogger vers le C2.
0x16
Envoie les données du keylogger vers le C2.
0x17
Supprime les données du keylogger.
0x18
Efface les cookies et les identifiants de connexion du navigateur.
0x1B
Démarre le module d’enregistrement de la webcam.
0x1C
Arrête le module d’enregistrement de la webcam.
0x1D
Active le module d’enregistrement du microphone.
0x1E
Désactive le module d’enregistrement du microphone.
0x1F
Tente de voler des identifiants provenant de divers programmes. Utilise les utilitaires de récupération de mots de passe : https://www.nirsoft.net/ (lien externe à ibm.com).
0x20
Supprime un fichier ou un dossier.
0x21
Met fin à son propre processus et au processus du chien de garde (watchdog).
0x22
Désinstalle Remcos du système.
0x23
Redémarre l’ordinateur.
0x24
Met à jour Remcos à partir d’une URL fournie.
0x25
Met à jour Remcos via le serveur C2.
0x26
Affiche une boîte de message.
0x27
Provoque l’arrêt du système ou sa mise en veille prolongée.
0x28
Envoie les données du presse-papiers vers le serveur C2.
0x29
Définit le contenu du presse-papiers avec les données fournies par le C2.
0x2A
Efface le presse-papiers.
0x2B
Charge et exécute une DLL depuis le C2.
0x2C
Charge et exécute une DLL à partir de l’URL fournie.
0x2F
Modifie le registre en fonction des valeurs fournies par le C2.
0x30
Semble permettre à l’attaquant de discuter avec la victime.
0x31
Définit l’identifiant de nom de Remcos.
0x32
Autorise l’utilisation et la gestion de proxys.
0x34
Permet à Remcos de gérer les services système.
0x8F
Recherche un fichier sur le système.
0x92
Définit le fond d’écran du système.
0x94
Définit le texte d’une fenêtre et liste les processus actifs ayant des fenêtres à l’aide de EnumWindows().
0x97
Envoie les résultats de la commande « dxdiag » vers le serveur C2.
0x98
Permet à Remcos de gérer des fichiers via des actions telles que la copie, le déplacement et la suppression.
0x99
Envoie les données de capture d’écran vers le C2.
0x9A
Récupère l’historique du navigateur Web à l’aide des exécutables Nirsoft.
0x9E
Lit un fichier audio « alarm.wav ». Ce fichier est obtenu depuis le serveur C2.
0x9F
Active la lecture de « alarm.wav » lors de la déconnexion du C2.
0xA0
Désactive la lecture de « alarm.wav » lors de la déconnexion du C2.
0xA2
Télécharge « alarm.wav » depuis le serveur C2.
0xA3
Lit un fichier audio.
0xAB
Élève les privilèges d'un processus.
0xAC
Active la fenêtre de console de journalisation.
0xAD
Affiche la fenêtre de la console de journalisation.
0xAE
Masque la fenêtre de la console de journalisation.
0xB2
Injecte un exécutable dans un nouveau processus et l’exécute.
0xC5
Définit une valeur de registre.
0xC6
Envoie les cookies et les mots de passe du navigateur vers le C2.
0xC8
Suspend un processus.
0xC9
Reprend un processus.
0xCA
Lit un fichier et envoie son contenu au serveur C2.
0xCB
Écrit le contenu fourni par le C2 dans un fichier.
0xCC
Démarre le keylogger en mode déconnecté.
0xCD
Arrête le keylogger lorsqu’il est démarré en mode déconnecté.
0xCE
Liste les tables TCP et UDP d’un processus.
Comme indiqué plus haut, Remcos possède de nombreuses fonctionnalités, notamment l’administration à distance, l’exécution de charges utiles, la surveillance, la persistance et le vol d’informations. Remcos peut être utilisé par des administrateurs système légitimes ; cependant, il est également largement utilisé par divers acteurs de la menace. Les actions effectuées par Remcos sur un système sont principalement pilotées par la communication avec son serveur C2. Remcos inclut une interface graphique qui permet aux attaquants de gérer facilement plusieurs victimes au sein d’une même interface. L’interface graphique permet de créer des tâches automatisées ainsi que d’interagir manuellement avec l’implant Remcos sur un système victime.
Hive0156 exploite un réseau de serveurs C2 dans le monde entier et tire probablement profit de l’indifférence des fournisseurs d’hébergement russes envers les opérations du groupe. X-Force a découvert que le groupe utilisait le géoblocage (geofencing) ciblant au moins l’Ukraine et le filtrage des en-têtes de requêtes dans le cadre de ses opérations de staging. Hive0156 déploie Remcos avec des fonctionnalités limitées activées, mais met continuellement à jour sa configuration depuis son C2. Cela peut indiquer une priorisation de l’accès dormant et une activation sélective de la collecte lors de nouvelles initiatives. Le maintien d’une connectivité ininterrompue entre les infections Remcos et l’infrastructure C2 du groupe est primordial pour conserver l'accès aux victimes.
Hive0156 continue à mener des opérations malveillantes contre l’Ukraine. X-Force estime que le groupe continue de cibler le personnel militaire ukrainien mais qu’il fait évoluer ses documents leurres vers des thèmes plus généraux, ce qui suggère un vivier de victimes plus large. Les organisations et le personnel liés à l’armée ukrainienne ou associés à celle-ci courent un risque accru d'être ciblés par Hive0156.
X-Force recommande les actions suivantes pour atténuer l’activité de Hive0156 :
Indicateur
Type d’indicateur
Contexte
5.101.83[.]18
Adresse IP
C2
5.101.83[.]19
Adresse IP
C2
5.101.82[.]52
Adresse IP
C2
146.185.239[.]11
Adresse IP
C2
146.185.239[.]12
Adresse IP
C2
5.101.80[.]15
Adresse IP
C2
6637405265adc8b
SHA256
LNK malveillant
46d633c2937eeca2
SHA256
LNK malveillant
14515e5498d3d3219e
SHA256
LNK malveillant
37d2f3d3af2d564d6f9
SHA256
LNK malveillant
842d1e27d919a0ef568
SHA256
LNK malveillant
ccf6d3eaea549b8f1f02
SHA256
LNK malveillant
63e9fa71789996cf52b
SHA256
LNK malveillant
1f157d473ccfe51a22a0
SHA256
LNK malveillant
002e2e591f324ebdfa2
SHA256
LNK malveillant
c38beb137b130c00b6
SHA256
LNK malveillant
6cd56f7f1f8c7c422c672
SHA256
LNK malveillant
44448993bbe5931c62
SHA256
LNK malveillant
d9d26d19da539b0adc
SHA256
LNK malveillant
7efbfd633d469405c66
SHA256
LNK malveillant
9b662720f48749f5b29d
SHA256
LNK malveillant
8556f07ceb37e726a66c
SHA256
LNK malveillant
9d95228173bf5f29bc3d2
SHA256
LNK malveillant
6c5a89c3dd7b596fd1be
SHA256
LNK malveillant
2387e5e7f1eebfa1c27f95
SHA256
PowerShell malveillant
2d69f5ac19a8f9d4989216
SHA256
Hijackloader
e476331dee7ed59dca01
SHA256
Hijackloader
fab5189c5025d7550dab
SHA256
Hijackloader
f3b4d31644fb8607937a
SHA256
Hijackloader
a720d05cb33492b7526
SHA256
Hijackloader
40325649ca85b3022d
SHA256
Hijackloader
e2828abd351fef967f6d3
SHA256
Remcos RAT
072a05492922f4a812ad
SHA256
Remcos RAT
eabb395b925c39cd2199
SHA256
Remcos RAT
53fc03a7446f0b6dda8c4
SHA256
Remcos RAT
6a4a79b885b5bcd8bbd
SHA256
Remcos RAT
068630c8edc29e424f19
SHA256
Remcos RAT
