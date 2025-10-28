Entre août et octobre 2025, IBM X-Force a observé plusieurs e-mails ciblant des individus probablement colombiens et hispanophones, avec des thèmes liés au bureau du procureur général de Colombie. Les e-mails incitent l’utilisateur à télécharger un « document officiel » depuis le système d’information judiciaire, ce qui déclenche la chaîne d’infection exécutant un binaire HijackLoader menant au cheval de Troie d’accès à distance (RAT) PureHVNC.
Entre août et octobre 2025, X-Force a observé plusieurs e-mails ciblant des utilisateurs résidant probablement en Colombie, imitant le bureau du procureur général de Colombie et proposant des téléchargements de documents officiels. Les e-mails visent à utiliser Hijackloader pour diffuser plusieurs charges utiles, y compris PureHVNC. HijackLoader lui-même n’a pas été largement utilisé dans les campagnes ciblant les utilisateurs en Amérique latine (LATAM), et auparavant, X-Force n'avait observé aucune campagne ciblant les utilisateurs de la zone LATAM pour diffuser PureHVNC. En 2024, des détails indiquent que HijackLoader a été utilisé pour charger RemcosRAT dans des campagnes ciblant les clients de CrowdStrike, probablement depuis les pays de la zone LATAM (d’après les noms de fichiers et les instructions en espagnol). La diffusion du RAT PureHVNC est intéressante dans la mesure où X-Force n’a jamais observé de campagnes antérieures où PureHVNC était diffusé auprès d’utilisateurs hispanophones. PureHVNC RAT fait partie d’un ensemble d’outils vendus par PureCoder. Ces outils malveillants sont facilement disponibles à la vente sur le dark web, sur des forums clandestins, ainsi que sur Telegram.
Les utilisateurs reçoivent un e-mail prétendant être une correspondance officielle du bureau du procureur général de Colombie. L’e-mail indique qu’une action en justice a été intentée par un ancien employé et qu’elle est en cours de traitement devant les tribunaux du travail. Un fichier SVG est joint à l’e-mail et la victime l’ouvre dans Google Drive. Dans la plupart des cas, l’aperçu du document est visible et prêt à être téléchargé en cliquant sur le bouton de téléchargement. Dans un cas, la victime a reçu un message « Impossible de prévisualiser le fichier » et un bouton de téléchargement, ce qui a ouvert le fichier dans Google Drive. Quoi qu'il en soit, dans Google Drive, il suffit de cliquer n’importe où sur le document pour télécharger un fichier d’archive ZIP, et la victime voit alors une page « Téléchargement terminé » contenant un mot de passe tel que « KC4SX87 ». Le fichier ZIP contient plusieurs fichiers supplémentaires, dont un fichier exécutable qui nécessite un mot de passe pour être exécuté si l'utilisateur clique dessus. Un clic sur le fichier EXE lance la chaîne d’infection, au cours de laquelle HijackLoader est utilisé pour déployer plusieurs charges utiles différentes, dont PureHVNC.
Étape 1 du logiciel malveillant : chargement latéral de DLL
Hijackloader utilise une technique appelée DLL side-loading, qui abuse de l’ordre de recherche utilisé par Windows pour localiser les bibliothèques nécessaires à l’exécution d’une DLL malveillante. HijackLoader utilise un fichier légitime javaw.exe qui a été renommé avec un nom à thème judiciaire (02 BOLETA FISCAL.exe). Comme l’une des dépendances de javaw.exe est JLI.dll, HijackLoader place une version modifiée de JLI.dll dans le même répertoire. Lorsque le javaw.exe renommé est lancé, le système d’exploitation charge également la DLL malveillante depuis le répertoire local.
La fonction principale de la DLL malveillante JLI.dll est de charger la charge utile de deuxième étape, MSTH7EN.dll. Pour ce faire, elle appelle l’API LoadLibraryW(), qui charge MSTH7EN.dlldans l’espace d’adressage du processus. L’appel API renvoie l’adresse de base de l’image de la DLL nouvellement chargée. Cette adresse est ensuite ajoutée à un décalage (offset) spécifique pour calculer le point d’entrée du code malveillant dans MSTH7EN.dll.
Étape 2 du logiciel malveillant : Phase de chargement
La charge utile de la deuxième étape commence par l’initialisation. Pour éviter la détection, il charge et résout dynamiquement toutes les bibliothèques et API nécessaires. Une fois terminé, il vérifie que le répertoire de travail actuel correspond à l’emplacement de HijackLoader, ce qui garantit que la charge utile de la troisième étape peut être référencée et chargée correctement.
La charge utile de la troisième étape contient une configuration chiffrée du logiciel malveillant avec les composants suivants :
Après déchiffrement, la configuration du logiciel malveillant contient des informations telles que les suivantes :
Le shellcode est ensuite chargé dans vssapi.dll, qui est la DLL spécifiée dans la configuration du logiciel malveillant. Cela se fait en appelant VirtualProtect() pour modifier la protection mémoire de la section .text de la DLL en PAGE_EXECUTE_READWRITE. Enfin, le shellcode est copié dans cette adresse accessible en écriture, et le flux d’exécution y est transféré.
Le shellcode agit comme un chargeur, mais il commence par hacher les noms des processus en cours d’exécution dans le système et les compare aux valeurs spécifiées dans la configuration du logiciel malveillant. Si une correspondance est trouvée, le logiciel malveillant utilise l’API NtDelayExecution() pour retarder sa propre exécution.
Ensuite, il lit le contenu de Plagkeg.zk. Le contenu de ce fichier est une autre configuration chiffrée du logiciel malveillant et des modules de HijackLoader. Les données sont divisées en plusieurs segments, le segment initial contenant les informations suivantes :
Les segments suivants suivent cette structure :
Pour assembler ces segments, HijackLoader parcourt les données chiffrées à la recherche du motif « ????IDAT », où les points d’interrogation servent de caractères génériques. Lorsqu’une correspondance est trouvée, il vérifie si les quatre octets qui suivent immédiatement le motif sont égaux à 0xC6A579EA. Cela confirme que le segment initial a été trouvé, ce qui est important car il contient la taille totale du shellcode et la clé de déchiffrement. Si la valeur correspond, HijackLoader stocke les octets de shellcode dans un tampon. Le processus est répété pour tous les segments suivants, leurs octets de shellcode étant ajoutés au même tampon, jusqu’à ce qu’aucun motif correspondant ne soit trouvé.
Une fois cette opération effectuée, le tampon contenant le shellcode chiffré est déchiffré à l’aide d’un algorithme XOR, puis décompressé à l’aide de l’algorithme LZNT1. Le résultat est une structure qui contient diverses informations, telles que la charge utile finale, la structure des modules, etc.
Étape 3 du logiciel malveillant : ti64 - module principal
Les fonctionnalités de HijackLoader sont divisées en modules. Certains contiennent du code exécutable, tandis que d’autres ne sont que des informations utilisées à titre de référence. Un exemple en est le module COPYLIST , qui contient la liste des noms de fichiers liés à cette variante de HijackLoader. Selon le rapport de Trellix, certaines variantes de HijackLoader prennent en charge jusqu’à 40 modules, mais l’échantillon analysé pour ce rapport n'en prend en charge que 35. Tous les modules ne sont pas exécutés, et leur utilisation dépend des indicateurs (flags) spécifiés dans la configuration du logiciel malveillant.
Le tableau ci-dessous résume le nom de chaque module et son objectif :
HijackLoader parcourt ces structures et convertit le nom de chaque module en hash à l’aide d’un algorithme personnalisé. Une fois la correspondance avec le module « ti64 » trouvée, il calcule un pointeur vers le code du module en ajoutant le décalage des données à la base du tableau de données du module. Ce pointeur est ensuite renvoyé et utilisé comme référence au shellcode de « ti64 ».
Ensuite, le logiciel malveillant effectue une autre opération de DLL hollowing pour injecter le shellcode du module « ti64 ». La cible est une DLL spécifiée dans la configuration précédemment déchiffrée, qui dans ce cas est pla.dll.
Nom du module
Hachage
Objectif
AVDATA
0x78B783CA
Contient les hachages des processus liés aux produits de sécurité
ESAL
0x757C9405
Nettoie les données en mémoire de Hijackloader et exécute la charge utile finale
ESLDR
0xE7794E15
Utilisé pour injecter et exécuter du shellcode lié à HijackLoader
ESWR
0x93EB1CB1
Efface les données du shellcode et exécute le module rshell
FIXED
0x699D0C82
Fichier PE légitime utilisé pour injecter du code dans son processus
LauncherLdr64
0xF4F141C2
Déchiffre les fichiers de configuration qui sont conservés sur le disque.
modCreateProcess
0x696F778F
Utilisé pour exécuter un fichier
modTask
0x3115355E
Crée une persistance à l’aide d’une tâche planifiée
modUAC
0xC64EBFDA
Utilisé pour l’élévation des privilèges
modWriteFile
0xFCE82FC1
Gère la création de fichiers sur le disque
rshell
rshell64
0x74984889
Exécute la charge utile finale
ti
ti64
0x3EE477F1
Sert de code shell principal qui exécute tous les autres modules
TinyCallProxy
0x455CBBC3
Agit comme un proxy pour exécuter des appels API
tinystub
0x4EACE798
Contient un fichier exécutable fictif, utilisé pour le patching pendant le processus d’exécution de la charge utile finale.
tinyutilitymodule.dll
0xA1D724FC
Remplace les en-têtes PE d’un fichier spécifié par des octets nuls
SM
0xD8222145
Contient le nom de la DLL système utilisée pour l’usurpation de pile d’appels ou l’injection de shellcode
COPYLIST
0x1AE7700A
Liste des noms de fichiers à copier ou supprimer
CUSTOMINJECT
0x6703F815
Contient un fichier exécutable légitime utilisé pour injecter du code dans sa mémoire de processus. Le processus est créé selon un chemin personnalisé spécifié par le module CUSTOMINJECTPATH
CUSTOMINJECTPATH
0x192A4446
Contient un chemin d’accès au fichier utilisé pour créer le fichier légitime dans le module CUSTOMINJECT .
X64L
0xCB5B9F3F
Module injecté dans un processus pour servir de proxy d’injection
WDUACDATA
0x4D75088D
Contient la chaîne utilisée pour exécuter des commandes via cmd
WDDATA
0xB718A6AE
Contient une commande PowerShell pour ajouter une exclusion antivirus Windows Defender
PERSDATA
0xA2E0AB5D
Contient la configuration utilisée par le module modTask pour créer des tâches planifiées
MUTEX
0x1999709F
Contient le nom du mutex à vérifier
Le module modUAC, similaire aux autres modules, utilise TinyCallProxy pour appeler les API. Si le premier DWORD du module UACDATA est 2, il utilise le verbe « runas » pour élever ses privilèges. Sinon, il utilise l’interface COM CMSTPLUA pour contourner l’UAC.
Dans certaines variantes, HijackLoader utilise une technique appelée « usurpation de pile » (stack spoofing) pour masquer l’origine des appels API et système.Pour ce faire, il utilise le registre pointeur de base (EBP) pour naviguer dans la pile, en suivant la chaîne de pointeurs EBP pour récupérer l’adresse de retour de chaque cadre de pile. Si une adresse de retour ne se trouve pas dans la section .text de ntdll.dll ou kernelbase.dll, HijackLoader la stocke pour plus tard. Ce processus est répété jusqu’à ce que la limite de la pile soit atteinte ou jusqu’à ce que trois adresses de retour consécutives soient trouvées dans ces bibliothèques système.
Ensuite, il usurpe la pile d’appels en remplaçant les adresses de retour légitimes enregistrées par de fausses adresses. Chaque fausse adresse est générée en sélectionnant une exportation aléatoire à partir d’une DLL spécifiée par le module SM (dans ce cas, dcd9.dll) et en ajoutant un décalage aléatoire, garantissant que le pointeur final atterrit dans la section .text de ce module.Heaven’s Gate est ensuite utilisée pour effectuer l’appel système. Immédiatement après la fin de l’appel, les adresses de pile originales sont restaurées.
Les variantes plus récentes utilisent cependant une technique différente. Au lieu de l’usurpation de pile, HijackLoader charge la DLL cible spécifiée par le module SM via LoadLibraryW(). Il sauvegarde ensuite le code depuis un décalage aléatoire dans cette DLL vers un tampon temporaire et le remplace par le shellcode du module TinyCallProxy64, conçu pour appeler l’API spécifiée. Une fois l’appel terminé, le code original et propre est restauré.
HijackLoader utilise ces techniques pour un certain nombre de fonctions susceptibles d’être surveillées par les logiciels antivirus, telles que ZwProtectVirtualMemory et ZwGetContextThread.
Technique
Description
Vérification anti-débogage basée sur le temps
Utilise une technique d’évasion basée sur le temps en mesurant la latence de l’instruction cpuid. Il encapsule l’appel cpuid avec des instructions rdtsc dans une boucle, et si le temps d’exécution dépasse un seuil spécifié, il détecte la présence d’un débogueur ou d’une machine virtuelle.
Vérification de l’hyperviseur
Effectue une vérification standard anti-VM en exécutant l’instruction cpuid et en vérifiant le « bit hyperviseur » (bit 31) dans le registre ECX renvoyé. Si ce bit est réglé à 1, il indique la présence d’un hyperviseur.
Vérification de l’identifiant du fournisseur (Vendor ID)
Effectue un contrôle anti-VM en interrogeant la feuille d’information de l’hyperviseur (0x40000000). Une valeur de retour dans EAX supérieure ou égale à 0x40000000 indique la présence de feuilles CPUID actives spécifiques à l’hyperviseur.
Vérifie la quantité totale de RAM
Effectue une vérification anti-sandbox en interrogeant la mémoire vive physique totale. Il appelle NtQuerySystemInformation pour calculer la mémoire totale en gigaoctets (en effectuant un décalage binaire vers la droite de 30) et se termine si le résultat est inférieur à 4 Go.
Vérifie le nombre de processeurs
Effectue une vérification anti-sandbox en interrogeant le nombre de cœurs CPU. Il appelle NtQuerySystemInformation pour obtenir le NumberOfProcessors et le compare à la valeur spécifiée dans la configuration du module ANTIVM.
Vérification du nom d’utilisateur
Compare le nom d’utilisateur de l’utilisateur actuel à la valeur spécifiée dans le module ANTIVM.
Vérification du nom de l’ordinateur
Vérifie si le nom de l’ordinateur ne contient que des chiffres.
Vérifie le répertoire de travail actuel
Vérifie si le chemin d’accès actuel au module se trouve sur le bureau.
Un échec de la vérification anti-virtualisation entraîne l'arrêt du processus via un appel à ZwTerminateProcess().
La routine de dehooking compare la section .text de la DLL ntdll.dll actuellement chargée par rapport à une copie propre mappée. Elle recherche les instructions call (0xE8) et jmp (0xE9) et détecte un hook si le type d’instruction ou l’adresse de destination diffère entre les deux versions. Si un hook est détecté, le logiciel malveillant corrige le fichier ntdll.dll en mémoire en rétablissant les octets propres d’origine.
Le mécanisme de persistance de HijackLoader est également contrôlé par sa configuration. Le comportement est dicté par un indicateur :
En plus de ces indicateurs, HijackLoader peut créer un autre mécanisme de persistance en vérifiant la présence d’un module PERSDATA . Ce module contient les données de configuration nécessaires, telles que le nom de la tâche, pour créer une seconde tâche planifiée.
Type d’injection
Description
Si le fichier à injecter est une DLL ou si les indicateurs d’injection sont inférieurs à 0x3,
la charge utile finale sera exécutée dans le même processus, de sorte que la charge utile de la DLL sera mappée dans la DLL évidée (hollowed).
Si la charge utile finale n’est pas un fichier .NET/CLR, que l'indicateur d’injection 0x20 est faux et que 0x80 est vrai
Cache la charge utile rshell dans un faux PE tinystub à l’aide d’une transaction NTFS annulée (rolled-back). Il mappe ensuite ce PE caché dans un processus suspendu (FIXED), où le module ESWR détourne le contexte du thread principal pour exécuter le code rshell.
Si la charge utile finale n’est pas un fichier .NET/CLR et que les indicateurs d’injection 0x20 et 0x80 sont tous deux faux
Le module FIXED est déposé sur le disque et créé en tant que processus suspendu. Le module ESWR est ensuite utilisé pour déclencher l’exécution de la charge utile rshell dans le processus FIXED.
L'indicateur d’injection 0x100 est défini sur vrai et 0x20 est défini sur faux.
Injecte rshell dans un exécutable système légitime suspendu (par exemple, MSBuild.exe) localisé en analysant l’en-tête .NET pour le chemin CLR. La charge utile est patchée en mémoire avant d’être exécutée via un détournement de contexte de thread (thread context hijacking) et efface ses propres en-têtes PE.
Les indicateurs d’injection 0x4 et 0x80 sont tous deux vrais.
Dépose conditionnellement le module FIXED, puis stocke la charge utile rshell dans un fichier transactionnel annulé (rolled-back transacted file) (tinystub). Il l’injecte dans le processus FIXED suspendu via un mappage de section. L’exécution est déclenchée via un détournement de contexte de thread, suivi de l'effacement optionnel de son en-tête PE.
L'indicateur d’injection 0x4 est vrai et 0x80 est faux.
HijackLoader lance un processus suspendu, crée et mappe une nouvelle section de mémoire directement à l’intérieur de celui-ci, puis écrit le module rshell patché dans cette section. L’exécution est déclenchée en détournant le contexte du thread principal pour exécuter le code rShell.
L'indicateur d’injection 0x4 est faux et 0x10 est vrai.
Effectue un Process Hollowing en lançant son module FIXED, en effaçant sa section de mémoire principale, puis en y copiant la charge utile. Il écrit l’en-tête « MZ » en deux appels distincts. Enfin, il injecte le module rshell patché, modifie le PEB et, optionnellement, efface l’en-tête PE de la charge utile.
Le type d’injection est défini sur 4
Injecte la charge utile principale et le module rshell via le mappage de section. Une section est créée et remplie localement avec le rshell patché et la charge utile, puis mappée dans un processus cible suspendu (un binaire natif du système ou un module CUSTOMINJECT). L’exécution est déclenchée en détournant le contexte du thread principal pour qu’il pointe vers le point d’entrée rshell.
Les utilisateurs de la zone LATAM sont de plus en plus souvent la cible d’e-mails usurpant l’identité d’entités gouvernementales ou judiciaires, dont les thèmes créent souvent un sentiment d’urgence. X-Force observe des campagnes qui impliquent couramment un lien intégré ou des pièces jointes ZIP redirigeant les victimes vers des programmes de téléchargement malveillants. Entre août et octobre 2025, X-Force a observé plusieurs e-mails ciblant des utilisateurs résidant probablement en Colombie, imitant le bureau du procureur général de Colombie et proposant des téléchargements de documents officiels. HijackLoader est un logiciel malveillant modulaire doté de mécanismes d’évasion et de persistance, principalement diffusé auprès des utilisateurs sous la forme d’un fichier d’archive ZIP ou RAR. Les archives contiennent une DLL malveillante qui est exécutée par chargement latéral (sideloading) et utilisée pour diffuser des charges utiles supplémentaires. Ces e-mails, qui font probablement partie d’une campagne unique, sont importants car les acteurs utilisent HijackLoader pour diffuser le RAT PureHVNC, une combinaison qui n’avait pas été observée auparavant par X-Force.
Indicateur
Type d’indicateur
Contexte
troquelesmyj[@]gmail.com
E-mail de l’expéditeur
nuevos777[.]duckdns[.]org
Domaine
Domaine C2
7octubredc[.]duckdns[.]org
Domaine
Domaine C2
dckis13[.]duckdns[.]org
Domaine
Domaine C2
dckis7[.]duckdns[.]org
Domaine
Domaine C2
enviopago[.]mysynology[.]net
Domaine
Domaine C2
maximo26[.]duckdns[.]org
Domaine
Domaine C2
sofiavergara[.]duckdns[.]org
Domaine
Domaine C2
hxxps[:]//drive[.]google[.]com
URL
Hôte SVG
hxxps[:]//drive[.]google[.]com/
URL
Hôte SVG
e7120d45ee357f30cb602c0d93
SHA256
ZIP
7e64102405459192813541448c8
SHA256
RAR
14becb3a9663128543e1868d09
SHA256
Hijackloader
57c49cff3e71bc75641c78a5a72d
SHA256
Hijackloader
7c3d9ad3f1bd890e3552dc6709
SHA256
Hijackloader
ce42377d3d26853fd1718f69341
SHA256
Hijackloader
a0e4979b4e4a706286438d48f
SHA256
Hijackloader
6d93a486e077858b75eb814e
SHA256
Hijackloader
bdca9849d7263d508b7ed4db
SHA256
Hijackloader
1ae61edf35127264d329b7c0e2
SHA256
Hijackloader
2ec31a8a36d73fa8354a7ac0c
SHA256
Hijackloader
776bbaa44c7788e0ccd5945
SHA256
Hijackloader
9e9997b54da0c633ffcf0a4fb
SHA256
Hijackloader
b2f733b67f1ef06d9e5ce76d3
SHA256
Hijackloader
c93e70d20ba2948a6a8a013
SHA256
Hijackloader
d550a2a327394148c0c3d05
SHA256
Hijackloader
e668ca17fcdfa818aac35f1206
SHA256
Hijackloader
fe6d0ee45a70359008b2916
SHA256
Hijackloader
977f2f18ff13c93406c5702f83
SHA256
Hijackloader
768ca38878c5bb15650343ce
SHA256
Hijackloader
47245b7d2d8cb6b92308deb
SHA256
Hijackloader
4484b0ac51536890301a0e6
SHA256
Hijackloader
0113d9f3d93069a29458b3b4
SHA256
Hijackloader
22d474e729d600dcd84ce139
SHA256
Hijackloader
2cbfc482e27a2240a48d2fb6f
SHA256
Hijackloader
96ee786c5b6167c0f0f770efba
SHA256
Hijackloader
33d0c63777882c9ec514be06
SHA256
PureHVNC
afecefa6d9bd1e6d1c9214420
SHA256
PureHVNC
85641c8fb94e8e4c5202152dc
SHA256
PureHVNC
1bf3a1cf9bc7eded0b8994d44
SHA256
PureHVNC
La solution de renseignements sur les menaces IBM X-Force Premier est désormais intégrée à OpenCTI par Filigran, fournissant des informations exploitables sur cette activité de menace et plus encore.
