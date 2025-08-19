Depuis novembre 2024, IBM X-Force a observé l’utilisation d’un nouveau loader, QuirkyLoader, pour diffuser des charges utiles supplémentaires sur des systèmes infectés. Parmi les familles de logiciels malveillants bien connues qui utilisent QuirkyLoader, on peut citer :
L’infection en plusieurs étapes commence par un e-mail. L’acteur de la menace utilise à la fois des fournisseurs de services de messagerie légitimes et un serveur de messagerie auto-hébergé pour envoyer des e-mails contenant une archive malveillante en pièce jointe. Cette archive contient trois composants clés : un exécutable légitime, une charge utile chiffrée et une DLL malveillante. L’acteur utilise le chargement latéral de la DLL, une technique où le lancement de l’exécutable légitime charge également la DLL malveillante. Cette DLL, à son tour, charge, déchiffre et injecte la charge utile finale dans son processus cible.
X-Force a observé que l’acteur de la menace écrit systématiquement le module du chargeur DLL dans les langages .NET et utilise une compilation anticipée (AOT). Ce processus compile le code en code machine natif avant son exécution, donnant l’impression que le binaire qui en résulte a été écrit en C ou C++.
La chaîne d’infection QuirkyLoader commence lorsqu’un utilisateur ouvre un fichier d’archive malveillant joint à un e-mail de spam. Cette archive contient un exécutable légitime, une charge utile chiffrée déguisée en DLL et un module de chargement DLL. Dans certains cas, l’archive inclut d’autres DLL légitimes pour dissimuler le module malveillant.
L’exécution du fichier .EXE légitime déclenche les étapes suivantes de l’infection. L’exécutable utilise le chargement latéral de DLL pour charger la DLL malveillante. Cette DLL charge, déchiffre et injecte ensuite la charge utile finale dans un processus cible. Elle y parvient en exécutant un process hollowing sur l’un des processus suivants : AddInProcess32.exe, InstallUtil.exe Ou aspnet_wp.exe.
Le module DLL de QuirkyLoader est systématiquement écrit en C#.NET. Il est compilé à l’aide de la compilation Ahead-of-Time (AOT), qui compile d’abord le code C# en Microsoft Intermediate Language (MSIL), puis le MSIL en code machine natif. Cette technique contourne la méthode traditionnelle .NET consistant d’abord à compiler le code en Microsoft Intermediate Language (MSIL), puis à utiliser le Common Language Runtime (CLR) pour le traduire en code natif. En conséquence, le binaire final ressemble à un programme écrit en C ou C++.
Pour charger la charge utile chiffrée, le logiciel malveillant fait appel aux API Win32 CreateFileW() et ReadFile(). Il déchiffre ensuite la mémoire tampon contenant la charge utile, généralement à l’aide d’un algorithme de chiffrement par blocs.
Il est intéressant de noter qu’une variante utilise le chiffrement Speck-128 en mode Counter (CTR) pour déchiffrer la charge utile, une méthode peu utilisée par les logiciels malveillants. Le chiffrement Speck fonctionne en étendant la clé maîtresse en plusieurs clés de tour. Il utilise ces clés de tour ainsi qu’un nonce pour générer un flux de clés en effectuant des opérations Add-Rotate-XOR (ARX). Enfin, le logiciel malveillant effectue un XOR entre le flux de clés généré et les données chiffrées par blocs de 16 octets pour produire la charge utile déchiffrée.
Bloc de code 1 : génération de flux de clés pour le chiffrement Speck
Pour éviter la détection par les logiciels de sécurité, le logiciel malveillant résout dynamiquement les API Win32 nécessaires au process hollowing.
Tout d’abord, le logiciel malveillant utilise CreateProcessW() pour lancer un processus à l’état suspendu. Il libère ensuite la mémoire du processus suspendu avec ZwUnmapViewOfSection() et écrit sa charge utile malveillante dans cet espace mémoire à l’aide de ZwWriteVirtualMemory(). Après avoir effectué ces initialisations, le logiciel malveillant définit le point de départ de la charge utile avec SetThreadContext() et appelle ResumeThread() pour l’exécuter.
Bien que les informations concernant la répartition géographique des opérations de QuirkyLoader soient restées limitées ces derniers mois, deux campagnes distinctes ciblant Taïwan et le Mexique ont été découvertes en juillet 2025. La campagne à Taïwan ciblait spécifiquement les employés de Nusoft Taiwan, une société de recherche sur la sécurité des réseaux et Internet, et a diffusé l’infostealer Snake Keylogger. Au Mexique, la campagne a ciblé des individus de manière aléatoire, en distribuant à la fois le RAT Remcos et AsyncRAT.
IBM X-Force a découvert d’autres IOC de réseau liés au domaine utilisé pour distribuer les courriels malveillants. L’enquête a commencé avec le domaine catherinereynolds[.]info qui résout vers l’adresse IP 157[.]66[.]225[.]11 et héberge un client web Zimbra. Après une inspection plus approfondie, il a été constaté que le domaine utilise un certificat SSL avec le nom commun mail[.]catherinereynolds[.]info. En pivotant à partir de ce certificat, les adresses IP 103[.]75[.]77[.]90 et 161[.]248[.]178[.]212 ont été identifiées comme utilisant le même certificat SSL. X-Force estime avec un niveau de confiance élevé que ces IP supplémentaires sont liées car elles utilisent des FAI similaires, hébergent des services similaires et partagent le même nom commun dans leurs certificats SSL.
QuirkyLoader est un nouveau chargeur de logiciels malveillants qui distribue activement des familles de malwares bien connues comme Agent Tesla, AsyncRAT et Remcos. L’acteur de la menace lance une infection en plusieurs étapes à l’aide d’e-mails malveillants contenant un fichier d’archive. En tirant parti du chargement latéral de DLL, le malware exécute son module DLL central, qui est systématiquement écrit en .NET et compilé en AOT (Ahead-of-Time) pour masquer sa nature. Ce module déchiffre et injecte ensuite la charge utile finale, démontrant ainsi une méthode sophistiquée pour diffuser divers logiciels malveillants.
Indicateur
Type d’indicateur
Contexte
011257eb766f2539828bdd45
Fichier
Module DLL QuirkyLoader
0ea3a55141405ee0e2dfbf33
Fichier
Module DLL QuirkyLoader
a64a99b8451038f2bbcd32
Fichier
Module DLL QuirkyLoader
9726e5c7f9800b36b671b06
Fichier
Module DLL QuirkyLoader
a1994ba84e255eb02a6140c
Fichier
Module DLL QuirkyLoader
d954b235bde6ad02451cab
Fichier
Exemple d’e-mail de QuirkyLoader
5d5b3e3b78aa25664fb2bfdb
Fichier
Exemple d’e-mail de QuirkyLoader
6f53c1780b92f3d5affcf095ae
Fichier
Exemple d’e-mail de QuirkyLoader
ea65cf2d5634a81f37d3241a7
Fichier
Exemple d’e-mail de QuirkyLoader
1b8c6d3268a5706fb41ddfff99
Fichier
Exemple d’e-mail de QuirkyLoader
d0a3a1ee914bcbfcf709d36741
Fichier
Exemple d’e-mail de QuirkyLoader
b22d878395ac2f2d927b78b16
Fichier
Exemple d’e-mail de QuirkyLoader
a83aa955608e9463f272adca
Fichier
Exemple d’e-mail de QuirkyLoader
3391b0f865f4c13dcd9f08c6d3e
Fichier
Exemple d’e-mail de QuirkyLoader
b2fdf10bd28c781ca354475be6
Fichier
Exemple d’e-mail de QuirkyLoader
bf3093f7453e4d0290511ea6a0
Fichier
Pièce jointe d'e-mail contenant QuirkyLoader
97aee6ca1bc79064d21e1eb7b8
Fichier
Pièce jointe d'e-mail contenant QuirkyLoader
b42bc8b2aeec39f25babdcbbd
Fichier
Pièce jointe d'e-mail contenant QuirkyLoader
5aaf02e4348dc6e962ec54d5d
Fichier
Pièce jointe d'e-mail contenant QuirkyLoader
8e0770383c03ce6921079879
Fichier
Pièce jointe d'e-mail contenant QuirkyLoader
049ef50ec0fac1b99857a6d2b
Fichier
Pièce jointe d'e-mail contenant QuirkyLoader
cba8bb455d577314959602eb
Fichier
Pièce jointe d'e-mail contenant QuirkyLoader
catherinereynolds[.]info
Domaine
Domaine utilisé pour la campagne de malspam
mail[.]catherinereynolds[.]info
Domaine
Domaine utilisé pour la campagne de malspam
157[.]66[.]22[.]11
IPv4
Adresse IP que catherinereynolds[.]info résout
103[.]75[.]77[.]90
IPv4
Adresse IP associée à QuirkyLoader
161[.]248[.]178[.]212
IPv4
Adresse IP associée à QuirkyLoader
IBM X-Force Premier Threat Intelligence est désormais intégré à OpenCTI, fournissant des renseignements opérationnels exploitables sur cette activité malveillante et bien plus encore. Accédez à des informations sur les acteurs de la menace, les logiciels malveillants et les risques sectoriels. Installez le OpenCTI Connector pour améliorer la détection et la réponse, en renforçant votre cybersécurité grâce à l’expertise d’IBM X-Force. Gardez une longueur d'avance –intégrez-le dès aujourd'hui.
Newsletter Think
Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.
Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.
Comprenez les dernières menaces et renforcez vos défenses cloud avec le rapport X-Force sur le paysage des menaces dans le cloud.
Apprenez à relever les défis et à exploiter la résilience de l’IA générative en matière de cybersécurité.
Protégez votre organisation contre les menaces mondiales grâce à l’équipe de pirates informatiques, d’intervenants, de chercheurs et d’analystes spécialisés dans les menaces d’IBM X-Force.
Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.
Protégez votre environnement mobile avec les solutions complètes de défense contre les menaces mobiles d’IBM MaaS360.
Bénéficiez de solutions complètes de gestion des menaces, afin de protéger votre entreprise avec compétence contre les cyberattaques.