Analyse des menaces IBM X-Force : QuirkyLoader – Un nouveau chargeur de logiciels malveillants diffusant des infostealers et des RAT

Une femme préoccupée, les mains devant le visage, assise devant un ordinateur, en train de regarder un ordinateur portable.

Depuis novembre 2024, IBM X-Force a observé l’utilisation d’un nouveau loader, QuirkyLoader, pour diffuser des charges utiles supplémentaires sur des systèmes infectés. Parmi les familles de logiciels malveillants bien connues qui utilisent QuirkyLoader, on peut citer :

  • Agent Tesla                  
  • AsyncRAT
  • FormBook
  • MassLogger
  • Remcos 
  • Rhadamanthys
  • Snake Keylogger

L’infection en plusieurs étapes commence par un e-mail. L’acteur de la menace utilise à la fois des fournisseurs de services de messagerie légitimes et un serveur de messagerie auto-hébergé pour envoyer des e-mails contenant une archive malveillante en pièce jointe. Cette archive contient trois composants clés : un exécutable légitime, une charge utile chiffrée et une DLL malveillante. L’acteur utilise le chargement latéral de la DLL, une technique où le lancement de l’exécutable légitime charge également la DLL malveillante. Cette DLL, à son tour, charge, déchiffre et injecte la charge utile finale dans son processus cible.

X-Force a observé que l’acteur de la menace écrit systématiquement le module du chargeur DLL dans les langages .NET et utilise une compilation anticipée (AOT). Ce processus compile le code en code machine natif avant son exécution, donnant l’impression que le binaire qui en résulte a été écrit en C ou C++.

Type de menace

  • Loader

Analyse

Chaîne d’infection

La chaîne d’infection QuirkyLoader commence lorsqu’un utilisateur ouvre un fichier d’archive malveillant joint à un e-mail de spam. Cette archive contient un exécutable légitime, une charge utile chiffrée déguisée en DLL et un module de chargement DLL. Dans certains cas, l’archive inclut d’autres DLL légitimes pour dissimuler le module malveillant.

L’exécution du fichier .EXE légitime déclenche les étapes suivantes de l’infection. L’exécutable utilise le chargement latéral de DLL pour charger la DLL malveillante. Cette DLL charge, déchiffre et injecte ensuite la charge utile finale dans un processus cible. Elle y parvient en exécutant un process hollowing sur l’un des processus suivants : AddInProcess32.exe, InstallUtil.exe Ou aspnet_wp.exe.

un exemple d’e-mail utilisé pour diffuser un logiciel malveillant
Figure 1 : Exemple d’e-mail
un organigramme montrant la chaîne d’infection QuirkyLoader
Figure 2 : Chaîne d’infection

Module de chargement DLL

​Le module DLL de QuirkyLoader est systématiquement écrit en C#.NET. Il est compilé à l’aide de la compilation Ahead-of-Time (AOT), qui compile d’abord le code C# en Microsoft Intermediate Language (MSIL), puis le MSIL en code machine natif. Cette technique contourne la méthode traditionnelle .NET consistant d’abord à compiler le code en Microsoft Intermediate Language (MSIL), puis à utiliser le Common Language Runtime (CLR) pour le traduire en code natif. En conséquence, le binaire final ressemble à un programme écrit en C ou C++.

Capture d’écran du compilateur et identification du langage pour un binaire .NET AOT
Figure 3 : Identification du compilateur et du langage pour un fichier binaire .NET AOT

Pour charger la charge utile chiffrée, le logiciel malveillant fait appel aux API Win32 CreateFileW() et ReadFile(). Il déchiffre ensuite la mémoire tampon contenant la charge utile, généralement à l’aide d’un algorithme de chiffrement par blocs.

Il est intéressant de noter qu’une variante utilise le chiffrement Speck-128 en mode Counter (CTR) pour déchiffrer la charge utile, une méthode peu utilisée par les logiciels malveillants. Le chiffrement Speck fonctionne en étendant la clé maîtresse en plusieurs clés de tour. Il utilise ces clés de tour ainsi qu’un nonce pour générer un flux de clés en effectuant des opérations Add-Rotate-XOR (ARX). Enfin, le logiciel malveillant effectue un XOR entre le flux de clés généré et les données chiffrées par blocs de 16 octets pour produire la charge utile déchiffrée.

__int64 __fastcall SPECK_128_KeyStream(__int64 *Nonce_Lower_Half, __int64
*Nonce_Upper_Half, __int64 Round_Keys)
{
  __int64 result; // rax
  __int64 v4; // r10
  LODWORD(result) = 0;
  if ( Round_Keys && *(Round_Keys + 8) >= 32 )
  {
    do
    {
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^
(*Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56));
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  else
  {
    do
    {
      v4 = *Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56);
      if ( result >= *(Round_Keys + 8) )
        ERR_Mb_15();
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^ v4;
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  return result;
}

Bloc de code 1 : génération de flux de clés pour le chiffrement Speck

Pour éviter la détection par les logiciels de sécurité, le logiciel malveillant résout dynamiquement les API Win32 nécessaires au process hollowing.

Tout d’abord, le logiciel malveillant utilise CreateProcessW() pour lancer un processus à l’état suspendu. Il libère ensuite la mémoire du processus suspendu avec ZwUnmapViewOfSection() et écrit sa charge utile malveillante dans cet espace mémoire à l’aide de ZwWriteVirtualMemory(). Après avoir effectué ces initialisations, le logiciel malveillant définit le point de départ de la charge utile avec SetThreadContext() et appelle ResumeThread() pour l’exécuter.

GetProcAddress ( 0x00007ff899380000, "CreateProcessW" )
GetProcAddress ( 0x00007ff899380000, "OpenProcess" )
GetProcAddress ( 0x00007ff899380000, "TerminateProcess" )
GetProcAddress ( 0x00007ff899380000, "CloseHandle" )
GetProcAddress ( 0x00007ff899380000, "GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "ResumeThread" )
GetProcAddress ( 0x00007ff899380000, "VirtualAllocEx" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwUnmapViewOfSection" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwWriteVirtualMemory" )
GetProcAddress ( 0x00007ff899790000, "memset" )
GetProcAddress ( 0x00007ff899380000, "VirtualProtectEx" )
GetProcAddress ( 0x00007ff899380000, "FlushInstructionCache" )
GetProcAddress ( 0x00007ff899380000, "ReadProcessMemory" )

Victimologie

Bien que les informations concernant la répartition géographique des opérations de QuirkyLoader soient restées limitées ces derniers mois, deux campagnes distinctes ciblant Taïwan et le Mexique ont été découvertes en juillet 2025. La campagne à Taïwan ciblait spécifiquement les employés de Nusoft Taiwan, une société de recherche sur la sécurité des réseaux et Internet, et a diffusé l’infostealer Snake Keylogger. Au Mexique, la campagne a ciblé des individus de manière aléatoire, en distribuant à la fois le RAT Remcos et AsyncRAT.

Infrastructure réseau associée

IBM X-Force a découvert d’autres IOC de réseau liés au domaine utilisé pour distribuer les courriels malveillants. L’enquête a commencé avec le domaine catherinereynolds[.]info qui résout vers l’adresse IP 157[.]66[.]225[.]11 et héberge un client web Zimbra. Après une inspection plus approfondie, il a été constaté que le domaine utilise un certificat SSL avec le nom commun mail[.]catherinereynolds[.]info. En pivotant à partir de ce certificat, les adresses IP 103[.]75[.]77[.]90 et 161[.]248[.]178[.]212 ont été identifiées comme utilisant le même certificat SSL. X-Force estime avec un niveau de confiance élevé que ces IP supplémentaires sont liées car elles utilisent des FAI similaires, hébergent des services similaires et partagent le même nom commun dans leurs certificats SSL.

Certificat SSL de catherinereynolds[.]info
Figure 4 : Certificat SSL de catherinereynolds[.]info

Conclusion

QuirkyLoader est un nouveau chargeur de logiciels malveillants qui distribue activement des familles de malwares bien connues comme Agent Tesla, AsyncRAT et Remcos. L’acteur de la menace lance une infection en plusieurs étapes à l’aide d’e-mails malveillants contenant un fichier d’archive. En tirant parti du chargement latéral de DLL, le malware exécute son module DLL central, qui est systématiquement écrit en .NET et compilé en AOT (Ahead-of-Time) pour masquer sa nature. Ce module déchiffre et injecte ensuite la charge utile finale, démontrant ainsi une méthode sophistiquée pour diffuser divers logiciels malveillants.

Recommandations

  • Bloquer les messages contenant des pièces jointes exécutables
  • Éviter d’ouvrir des e-mails inattendus
  • Évitez d’ouvrir des fichiers provenant de sources non fiables
  • Maintenir les produits de sécurité à jour et correctement configurés
  • Étant donné que les charges utiles finales sont généralement des infostealers et des outils d’accès à distance, surveiller et inspecter activement le trafic réseau sortant. 
  • Surveiller de près le comportement des processus légitimes suivants, car ils sont des cibles fréquentes de process hollowing par QuirkyLoader :
  •  
    • AddInProcess32.exe
    • InstallUtil.exe
    • aspnet_wp.exe

Indicateurs de compromission

Indicateur

Type d’indicateur

Contexte

011257eb766f2539828bdd45
f8aa4ce3c4048ac2699d9883
29783290a7b4a0d3

Fichier

Module DLL QuirkyLoader

0ea3a55141405ee0e2dfbf33
3de01fe93c12cf34555550e4f
7bb3fdec2a7673b

Fichier

Module DLL QuirkyLoader

a64a99b8451038f2bbcd32
2fd729edf5e6ae0eb70a244
e342b2f8eff12219d03

Fichier

Module DLL QuirkyLoader

9726e5c7f9800b36b671b06
4e89784fb10465210198fbbb
75816224e85bd1306

Fichier

Module DLL QuirkyLoader

a1994ba84e255eb02a6140c
ab9fc4dd9a6371a84b1dd631
bd649525ac247c111

Fichier

Module DLL QuirkyLoader

d954b235bde6ad02451cab
6ee1138790eea569cf8fd0b
95de9dc505957c533cd

Fichier

Exemple d’e-mail de QuirkyLoader

5d5b3e3b78aa25664fb2bfdb
f061fc1190310f5046d969adab
3e7565978b96ff

Fichier

Exemple d’e-mail de QuirkyLoader

6f53c1780b92f3d5affcf095ae
0ad803974de6687a4938a2e
1c9133bf1081eb6

Fichier

Exemple d’e-mail de QuirkyLoader

ea65cf2d5634a81f37d3241a7
7f9cd319e45c1b13ffbaf5f8a63
7b34141292eb

Fichier

Exemple d’e-mail de QuirkyLoader

1b8c6d3268a5706fb41ddfff99
c8579ef029333057b911bb490
5e24aacc05460

Fichier

Exemple d’e-mail de QuirkyLoader

d0a3a1ee914bcbfcf709d36741
7f8c85bd0a22d8ede0829a66
e5be34e5e53bb9

Fichier

Exemple d’e-mail de QuirkyLoader

b22d878395ac2f2d927b78b16
c9f5e9b98e006d6357c98dbe
04b3fd78633ddde

Fichier

Exemple d’e-mail de QuirkyLoader

a83aa955608e9463f272adca
205c9e1a7cbe9d1ced1e10c9d
517b4d1177366f6

Fichier

Exemple d’e-mail de QuirkyLoader

3391b0f865f4c13dcd9f08c6d3e
3be844e89fa3afbcd95b5d1a1c
5abcacf41f4

Fichier

Exemple d’e-mail de QuirkyLoader

b2fdf10bd28c781ca354475be6
db40b8834f33d395f7b5850be
43ccace722c13

Fichier

Exemple d’e-mail de QuirkyLoader

bf3093f7453e4d0290511ea6a0
36cd3a66f456cd4a85b7ec8fbf
ea6b9c548504

Fichier

Pièce jointe d'e-mail contenant QuirkyLoader

97aee6ca1bc79064d21e1eb7b8
6e497adb7ece6376f355e47b2
ac60f366e843d

Fichier

Pièce jointe d'e-mail contenant QuirkyLoader

b42bc8b2aeec39f25babdcbbd
aab806c339e4397debfde2ff1b
69dca5081eb44

Fichier

Pièce jointe d'e-mail contenant QuirkyLoader

5aaf02e4348dc6e962ec54d5d
31095f055bd7fb1e5831768200
3552fd6fe25dc

Fichier

Pièce jointe d'e-mail contenant QuirkyLoader

8e0770383c03ce6921079879
9d543b10de088bac147dce47
03f13f79620b68b1

Fichier

Pièce jointe d'e-mail contenant QuirkyLoader

049ef50ec0fac1b99857a6d2b
eb8134be67ae67ae134f9a3c5
3699cdaa7c89ac

Fichier

Pièce jointe d'e-mail contenant QuirkyLoader

cba8bb455d577314959602eb
15edcaa34d0b164e2ef9d89b0
8733ed64381c6e0

Fichier

Pièce jointe d'e-mail contenant QuirkyLoader

catherinereynolds[.]info

Domaine

Domaine utilisé pour la campagne de malspam

mail[.]catherinereynolds[.]info

Domaine

Domaine utilisé pour la campagne de malspam

157[.]66[.]22[.]11

IPv4

Adresse IP que catherinereynolds[.]info résout

103[.]75[.]77[.]90

IPv4

Adresse IP associée à QuirkyLoader

161[.]248[.]178[.]212

IPv4

Adresse IP associée à QuirkyLoader

