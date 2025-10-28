Sécurité

Rapport d’analyse des menaces X-Force : La zone LATAM appâtée pour la diffusion de PureHVNC

Publié le 28 octobre 2025
Vue latérale de mains tapant sur le clavier d’un ordinateur portable dans une pièce éclairée en bleu

Auteurs

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

Raymond Joseph Alfonso

Malware Reverse Engineer

IBM X-Force

Entre août et octobre 2025, IBM X-Force a observé plusieurs e-mails ciblant des individus probablement colombiens et hispanophones, avec des thèmes liés au bureau du procureur général de Colombie. Les e-mails incitent l’utilisateur à télécharger un « document officiel » depuis le système d’information judiciaire, ce qui déclenche la chaîne d’infection exécutant un binaire HijackLoader menant au cheval de Troie d’accès à distance (RAT) PureHVNC.

Type de menace

  • Hameçonnage

Contexte

Entre août et octobre 2025, X-Force a observé plusieurs e-mails ciblant des utilisateurs résidant probablement en Colombie, imitant le bureau du procureur général de Colombie et proposant des téléchargements de documents officiels. Les e-mails visent à utiliser Hijackloader pour diffuser plusieurs charges utiles, y compris PureHVNC. HijackLoader lui-même n’a pas été largement utilisé dans les campagnes ciblant les utilisateurs en Amérique latine (LATAM), et auparavant, X-Force n'avait observé aucune campagne ciblant les utilisateurs de la zone LATAM pour diffuser PureHVNC. En 2024, des détails indiquent que HijackLoader a été utilisé pour charger RemcosRAT dans des campagnes ciblant les clients de CrowdStrike, probablement depuis les pays de la zone LATAM (d’après les noms de fichiers et les instructions en espagnol). La diffusion du RAT PureHVNC est intéressante dans la mesure où X-Force n’a jamais observé de campagnes antérieures où PureHVNC était diffusé auprès d’utilisateurs hispanophones. PureHVNC RAT fait partie d’un ensemble d’outils vendus par PureCoder. Ces outils malveillants sont facilement disponibles à la vente sur le dark web, sur des forums clandestins, ainsi que sur Telegram.

Analyse

Aperçu

Les utilisateurs reçoivent un e-mail prétendant être une correspondance officielle du bureau du procureur général de Colombie. L’e-mail indique qu’une action en justice a été intentée par un ancien employé et qu’elle est en cours de traitement devant les tribunaux du travail. Un fichier SVG est joint à l’e-mail et la victime l’ouvre dans Google Drive. Dans la plupart des cas, l’aperçu du document est visible et prêt à être téléchargé en cliquant sur le bouton de téléchargement. Dans un cas, la victime a reçu un message « Impossible de prévisualiser le fichier » et un bouton de téléchargement, ce qui a ouvert le fichier dans Google Drive. Quoi qu'il en soit, dans Google Drive, il suffit de cliquer n’importe où sur le document pour télécharger un fichier d’archive ZIP, et la victime voit alors une page « Téléchargement terminé » contenant un mot de passe tel que « KC4SX87 ». Le fichier ZIP contient plusieurs fichiers supplémentaires, dont un fichier exécutable qui nécessite un mot de passe pour être exécuté si l'utilisateur clique dessus. Un clic sur le fichier EXE lance la chaîne d’infection, au cours de laquelle HijackLoader est utilisé pour déployer plusieurs charges utiles différentes, dont PureHVNC.

Capture d’écran d’un exemple d’e-mail pour cette campagne de phishing
Figure 1 – Exemple d’e-mail
Exemple de page de téléchargement
Figure 2 – Exemple de page de téléchargement
Téléchargement SVG usurpant la Consulta de Procesos Nacional Unificada
Figure 3 – Téléchargement SVG
Aperçu du téléchargement du document SVG pour le faux Portal de Consulta Ciudadana
Figure 4 – Aperçu du téléchargement du document SVG
Téléchargement SVG usurpant le Portal de Consulta Ciudadana
Figure 5 – Téléchargement SVG
Capture d’écran du téléchargement terminé et mot de passe
Figure 6 – Téléchargement terminé et mot de passe
Contenu de l’archive ZIP
Figure 7 – Contenu de l’archive ZIP
Saisie de mot de passe pour le fichier EXE
Figure 8 – Saisie du mot de passe pour le fichier EXE

Exemple de chaîne d’infection pour PureHVNC

  • 02 BOLETA FISCAL.exe (javaw.exe) → JLI.dll → MSTH7EN.DLL → Sumhand.zam → Plagkeg.zk → PureHVNC → sofiavergara[.]duckdns[.]org

Étape 1 du logiciel malveillant : chargement latéral de DLL

Hijackloader utilise une technique appelée DLL side-loading, qui abuse de l’ordre de recherche utilisé par Windows pour localiser les bibliothèques nécessaires à l’exécution d’une DLL malveillante. HijackLoader utilise un fichier légitime javaw.exe qui a été renommé avec un nom à thème judiciaire (02 BOLETA FISCAL.exe). Comme l’une des dépendances de javaw.exe est JLI.dll, HijackLoader place une version modifiée de JLI.dll dans le même répertoire. Lorsque le javaw.exe renommé est lancé, le système d’exploitation charge également la DLL malveillante depuis le répertoire local.

La fonction principale de la DLL malveillante JLI.dll est de charger la charge utile de deuxième étape, MSTH7EN.dll. Pour ce faire, elle appelle l’API LoadLibraryW(), qui charge MSTH7EN.dlldans l’espace d’adressage du processus. L’appel API renvoie l’adresse de base de l’image de la DLL nouvellement chargée. Cette adresse est ensuite ajoutée à un décalage (offset) spécifique pour calculer le point d’entrée du code malveillant dans MSTH7EN.dll.

if ( v25 )
{
  *v25 += v25;
  *(v25 - 117) += v26;
  v27 = v42;
  v28 = *v26;
  do
  {
      ++v26;
      *v27++ = v28;
      v28 = *v26;
  }
  while ( *v26 );
  *v27 = 0;
  LibraryA = LoadLibraryA(v42); //Load MSTH7EN.DLL
  if ( LibraryA )
    LOBYTE(LibraryA) = ((LibraryA + 31934))(); //Image base of MSTH7EN.dll +
31934 (malicious code offset)
  }

Étape 2 du logiciel malveillant : Phase de chargement

La charge utile de la deuxième étape commence par l’initialisation. Pour éviter la détection, il charge et résout dynamiquement toutes les bibliothèques et API nécessaires. Une fois terminé, il vérifie que le répertoire de travail actuel correspond à l’emplacement de HijackLoader, ce qui garantit que la charge utile de la troisième étape peut être référencée et chargée correctement.

La charge utile de la troisième étape contient une configuration chiffrée du logiciel malveillant avec les composants suivants :

  • Clé pour déchiffrer la configuration
  • Taille de la configuration chiffrée
  • Les données de configuration chiffrées

Après déchiffrement, la configuration du logiciel malveillant contient des informations telles que les suivantes :

  • Le nom de la DLL sur laquelle effectuer le DLL hollowing
  • La taille du shellcode pour le DLL hollowing
  • Le décalage (offset) du code malveillant dans le shellcode
  • Hachages des noms de processus qui, s’ils sont trouvés, retarderont l’exécution du logiciel malveillant
  • Les quatre premiers octets du shellcode, utilisés pour la validation
  • Une chaîne de recherche utilisée pour localiser le début du shellcode
Capture d’écran de la configuration chiffrée du logiciel malveillant
Figure 9 – Configuration chiffrée du logiciel malveillant
Capture d’écran de la configuration déchiffrée du logiciel malveillant
Figure 10 – Configuration déchiffrée du logiciel malveillant

Le shellcode est ensuite chargé dans vssapi.dll, qui est la DLL spécifiée dans la configuration du logiciel malveillant. Cela se fait en appelant VirtualProtect() pour modifier la protection mémoire de la section .text de la DLL en PAGE_EXECUTE_READWRITE. Enfin, le shellcode est copié dans cette adresse accessible en écriture, et le flux d’exécution y est transféré.

Le shellcode agit comme un chargeur, mais il commence par hacher les noms des processus en cours d’exécution dans le système et les compare aux valeurs spécifiées dans la configuration du logiciel malveillant. Si une correspondance est trouvée, le logiciel malveillant utilise l’API NtDelayExecution() pour retarder sa propre exécution.

Ensuite, il lit le contenu de Plagkeg.zk. Le contenu de ce fichier est une autre configuration chiffrée du logiciel malveillant et des modules de HijackLoader. Les données sont divisées en plusieurs segments, le segment initial contenant les informations suivantes :

  • La taille des données chiffrées
  • Marqueur (« IDAT »)
  • Une valeur (0xC6A579EA) utilisée pour vérifier les octets de départ du shellcode
  • La clé pour déchiffrer les données

Les segments suivants suivent cette structure :

  • La taille du fragment de shellcode
  • Marqueur (« IDAT »)
  • Les octets chiffrés

Pour assembler ces segments, HijackLoader parcourt les données chiffrées à la recherche du motif « ????IDAT », où les points d’interrogation servent de caractères génériques. Lorsqu’une correspondance est trouvée, il vérifie si les quatre octets qui suivent immédiatement le motif sont égaux à 0xC6A579EA. Cela confirme que le segment initial a été trouvé, ce qui est important car il contient la taille totale du shellcode et la clé de déchiffrement. Si la valeur correspond, HijackLoader stocke les octets de shellcode dans un tampon. Le processus est répété pour tous les segments suivants, leurs octets de shellcode étant ajoutés au même tampon, jusqu’à ce qu’aucun motif correspondant ne soit trouvé.

Une fois cette opération effectuée, le tampon contenant le shellcode chiffré est déchiffré à l’aide d’un algorithme XOR, puis décompressé à l’aide de l’algorithme LZNT1. Le résultat est une structure qui contient diverses informations, telles que la charge utile finale, la structure des modules, etc.

Étape 3 du logiciel malveillant : ti64 - module principal

Les fonctionnalités de HijackLoader sont divisées en modules. Certains contiennent du code exécutable, tandis que d’autres ne sont que des informations utilisées à titre de référence. Un exemple en est le module COPYLIST  , qui contient la liste des noms de fichiers liés à cette variante de HijackLoader. Selon le rapport de Trellix, certaines variantes de HijackLoader prennent en charge jusqu’à 40 modules, mais l’échantillon analysé pour ce rapport n'en prend en charge que 35. Tous les modules ne sont pas exécutés, et leur utilisation dépend des indicateurs (flags) spécifiés dans la configuration du logiciel malveillant.

Le tableau ci-dessous résume le nom de chaque module et son objectif :

HijackLoader parcourt ces structures et convertit le nom de chaque module en hash à l’aide d’un algorithme personnalisé. Une fois la correspondance avec le module « ti64 » trouvée, il calcule un pointeur vers le code du module en ajoutant le décalage des données à la base du tableau de données du module. Ce pointeur est ensuite renvoyé et utilisé comme référence au shellcode de « ti64 ».

Ensuite, le logiciel malveillant effectue une autre opération de DLL hollowing pour injecter le shellcode du module « ti64 ». La cible est une DLL spécifiée dans la configuration précédemment déchiffrée, qui dans ce cas est pla.dll.

Nom du module

Hachage

Objectif

AVDATA

0x78B783CA

Contient les hachages des processus liés aux produits de sécurité

ESAL
ESAL64

0x757C9405
0x6364A15B

Nettoie les données en mémoire de Hijackloader et exécute la charge utile finale

ESLDR
ESLDR64

0xE7794E15
0x4FA01AC5

Utilisé pour injecter et exécuter du shellcode lié à HijackLoader

ESWR
ESWR64

0x93EB1CB1
0xAE2762

Efface les données du shellcode et exécute le module rshell

FIXED

0x699D0C82

Fichier PE légitime utilisé pour injecter du code dans son processus

LauncherLdr64

0xF4F141C2

Déchiffre les fichiers de configuration qui sont conservés sur le disque.

modCreateProcess
modCreateProcess64

0x696F778F
0x9B0B7E4B

Utilisé pour exécuter un fichier

modTask
modTask64

0x3115355E
0x9BFAF2D3

Crée une persistance à l’aide d’une tâche planifiée

modUAC
modUAC64

0xC64EBFDA
0xC97832F9

Utilisé pour l’élévation des privilèges

modWriteFile
modWriteFile64

0xFCE82FC1
0x90415081

Gère la création de fichiers sur le disque

rshell

rshell64

0x74984889
0x7B37E907

Exécute la charge utile finale

ti

ti64

0x3EE477F1
0x2AB77DB8

Sert de code shell principal qui exécute tous les autres modules

TinyCallProxy
TinyCallProxy64

0x455CBBC3
0x5515DCEA

Agit comme un proxy pour exécuter des appels API

tinystub
tinystub64

0x4EACE798
0x6E874E5A

Contient un fichier exécutable fictif, utilisé pour le patching pendant le processus d’exécution de la charge utile finale.

tinyutilitymodule.dll
tinyutilitymodule64.dll

0xA1D724FC
0xA0077EA3

Remplace les en-têtes PE d’un fichier spécifié par des octets nuls

SM

0xD8222145

Contient le nom de la DLL système utilisée pour l’usurpation de pile d’appels ou l’injection de shellcode

COPYLIST

0x1AE7700A

Liste des noms de fichiers à copier ou supprimer

CUSTOMINJECT

0x6703F815

Contient un fichier exécutable légitime utilisé pour injecter du code dans sa mémoire de processus. Le processus est créé selon un chemin personnalisé spécifié par le module CUSTOMINJECTPATH

CUSTOMINJECTPATH

0x192A4446

Contient un chemin d’accès au fichier utilisé pour créer le fichier légitime dans le module CUSTOMINJECT .

X64L

0xCB5B9F3F

Module injecté dans un processus pour servir de proxy d’injection

WDUACDATA

0x4D75088D

Contient la chaîne utilisée pour exécuter des commandes via cmd

WDDATA

0xB718A6AE

Contient une commande PowerShell pour ajouter une exclusion antivirus Windows Defender

PERSDATA

0xA2E0AB5D

Contient la configuration utilisée par le module modTask pour créer des tâches planifiées

MUTEX

0x1999709F

Contient le nom du mutex à vérifier

Élévation des privilèges

Le module modUAC, similaire aux autres modules, utilise TinyCallProxy pour appeler les API. Si le premier DWORD du module UACDATA est 2, il utilise le verbe « runas » pour élever ses privilèges. Sinon, il utilise l’interface COM CMSTPLUA pour contourner l’UAC.

Évasion

Appel indirect de l’API

Dans certaines variantes, HijackLoader utilise une technique appelée « usurpation de pile » (stack spoofing) pour masquer l’origine des appels API et système.Pour ce faire, il utilise le registre pointeur de base (EBP) pour naviguer dans la pile, en suivant la chaîne de pointeurs EBP pour récupérer l’adresse de retour de chaque cadre de pile. Si une adresse de retour ne se trouve pas dans la section .text de ntdll.dll ou kernelbase.dll, HijackLoader la stocke pour plus tard. Ce processus est répété jusqu’à ce que la limite de la pile soit atteinte ou jusqu’à ce que trois adresses de retour consécutives soient trouvées dans ces bibliothèques système.

Ensuite, il usurpe la pile d’appels en remplaçant les adresses de retour légitimes enregistrées par de fausses adresses. Chaque fausse adresse est générée en sélectionnant une exportation aléatoire à partir d’une DLL spécifiée par le module SM (dans ce cas, dcd9.dll) et en ajoutant un décalage aléatoire, garantissant que le pointeur final atterrit dans la section .text de ce module.Heaven’s Gate est ensuite utilisée pour effectuer l’appel système. Immédiatement après la fin de l’appel, les adresses de pile originales sont restaurées.

Les variantes plus récentes utilisent cependant une technique différente. Au lieu de l’usurpation de pile, HijackLoader charge la DLL cible spécifiée par le module SM via LoadLibraryW(). Il sauvegarde ensuite le code depuis un décalage aléatoire dans cette DLL vers un tampon temporaire et le remplace par le shellcode du module TinyCallProxy64, conçu pour appeler l’API spécifiée. Une fois l’appel terminé, le code original et propre est restauré.

HijackLoader utilise ces techniques pour un certain nombre de fonctions susceptibles d’être surveillées par les logiciels antivirus, telles que ZwProtectVirtualMemory et ZwGetContextThread.

__int64 __fastcall sub_7FF87A86D3B0(
        GlobalContext_0 *a1,
        __int64 hash_of_function,
        __int64 a3,
        __int64 a4,
        __int64 a5,
        __int64 a6,
        __int64 a7)
{
  Indirect_SYSCALL *syscall_struct; // [rsp+40h] [rbp-28h]
  __int64 (__fastcall *pAPIFunc)(__int64, __int64, __int64, __int64, __int64);
// [rsp+48h] [rbp-20h]

  syscall_struct = sub_7FF87A86B470(a1, hash_of_function);
  if ( !syscall_struct )
    return 0xFFFFFFFFLL;
  pAPIFunc = (a1->ntdll_image_base + syscall_struct->api_rva);
  if ( a1->GlobalContext_1 )
    return mw_indirect_api_call(a1->GlobalContext_1, pAPIFunc, a3, a4, a5, a6, a7);
  else
    return pAPIFunc(a3, a4, a5, a6, a7);
}

__int64 __fastcall mw_indirect_api_call(
        GlobalContext_1 *TinyCallProxy64,
        __int64 pAPIFunc,
        __int64 a3,
        __int64 a4,
        __int64 NtClose,
        __int64 a6,
        __int64 a7)
{
  _BYTE *shellcodeAddress; // [rsp+40h] [rbp-58h]
  unsigned int v9; // [rsp+48h] [rbp-50h] BYREF
  int v10; // [rsp+4Ch] [rbp-4Ch] BYREF
  unsigned int v11; // [rsp+50h] [rbp-48h]
  _BYTE *clean_code; // [rsp+58h] [rbp-40h]
  unsigned int v13; // [rsp+60h] [rbp-38h]
  void (__fastcall *FlushInstructionCache)(__int64, _BYTE *, _QWORD); //
[rsp+68h] [rbp-30h]
  unsigned __int64 random_address; // [rsp+70h] [rbp-28h]
  __int64 (__fastcall *pShellcodeAddress)(__int64, unsigned __int64, _QWORD,
__int64, __int64, __int64, __int64, __int64); // [rsp+78h] [rbp-20h]
  void (__fastcall *v17)(__int64, _BYTE *, _QWORD); // [rsp+80h] [rbp-18h]

  v13 = 5;
  v11 = 0;
  shellcodeAddress = mw_pick_random_address(TinyCallProxy64);// d3d9.dll address
  v9 = 0;
  v10 = 0;
  if ( !(TinyCallProxy64->VirtualProtect)(shellcodeAddress,
LODWORD(TinyCallProxy64->shellcode_size), 64LL, &v9) )
    return -1LL;
  clean_code = (TinyCallProxy64->malloc)(LODWORD(TinyCallProxy64->shellcode_size));
  wrapper_memcpy(clean_code, shellcodeAddress, TinyCallProxy64->shellcode_size);
  wrapper_memcpy(shellcodeAddress, TinyCallProxy64->shellcode, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), v9, &v9);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    FlushInstructionCache = TinyCallProxy64->FlushInstructionCache;
    FlushInstructionCache(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  pShellcodeAddress = shellcodeAddress;
  random_address = mw_pick_random_address(TinyCallProxy64);
  v11 = pShellcodeAddress(pAPIFunc, random_address, v13, a3, a4, a5, a6, a7);
  if ( (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 0x40LL, &v10) )
    wrapper_memcpy(shellcodeAddress, clean_code, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 32LL, &v10);
  if ( clean_code )
    (TinyCallProxy64->free)(clean_code);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    v17 = TinyCallProxy64->FlushInstructionCache;
    v17(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  return v11;
}

ANTIVM

Technique

Description

Vérification anti-débogage basée sur le temps

Utilise une technique d’évasion basée sur le temps en mesurant la latence de l’instruction cpuid. Il encapsule l’appel cpuid avec des instructions rdtsc dans une boucle, et si le temps d’exécution dépasse un seuil spécifié, il détecte la présence d’un débogueur ou d’une machine virtuelle.

Vérification de l’hyperviseur

Effectue une vérification standard anti-VM en exécutant l’instruction cpuid et en vérifiant le « bit hyperviseur » (bit 31) dans le registre ECX renvoyé. Si ce bit est réglé à 1, il indique la présence d’un hyperviseur.

Vérification de l’identifiant du fournisseur (Vendor ID)

Effectue un contrôle anti-VM en interrogeant la feuille d’information de l’hyperviseur (0x40000000). Une valeur de retour dans EAX supérieure ou égale à 0x40000000 indique la présence de feuilles CPUID actives spécifiques à l’hyperviseur.

Vérifie la quantité totale de RAM

Effectue une vérification anti-sandbox en interrogeant la mémoire vive physique totale. Il appelle NtQuerySystemInformation pour calculer la mémoire totale en gigaoctets (en effectuant un décalage binaire vers la droite de 30) et se termine si le résultat est inférieur à 4 Go.

Vérifie le nombre de processeurs

Effectue une vérification anti-sandbox en interrogeant le nombre de cœurs CPU. Il appelle NtQuerySystemInformation pour obtenir le NumberOfProcessors et le compare à la valeur spécifiée dans la configuration du module ANTIVM.

Vérification du nom d’utilisateur

Compare le nom d’utilisateur de l’utilisateur actuel à la valeur spécifiée dans le module ANTIVM.

Vérification du nom de l’ordinateur

Vérifie si le nom de l’ordinateur ne contient que des chiffres.

Vérifie le répertoire de travail actuel

Vérifie si le chemin d’accès actuel au module se trouve sur le bureau.

Un échec de la vérification anti-virtualisation entraîne l'arrêt du processus via un appel à ZwTerminateProcess().

Décrochage des NTDLL

La routine de dehooking compare la section .text de la DLL ntdll.dll actuellement chargée par rapport à une copie propre mappée. Elle recherche les instructions call (0xE8) et jmp (0xE9) et détecte un hook si le type d’instruction ou l’adresse de destination diffère entre les deux versions. Si un hook est détecté, le logiciel malveillant corrige le fichier ntdll.dll en mémoire en rétablissant les octets propres d’origine.

for ( i = 0; ; ++i )
{
  result = v5[6];
    if ( i >= result )
      break;
    function_rva = *(v7 + 4LL * *(v6 + 2LL * i));
    if ( *(a1->ntdll_image_base + function_rva) != *(a2->clean_ntdll_buffer + function_rva) )// check if the ntdll functions are hooked
                                                // This is done by comparing the first byte of the fuinction.
    {
      if ( check_if_valid_address(a1, a1->ntdll_image_base, function_rva) )
        mw_clean_dll(a1, a2, function_rva, a1->ntdll_image_base, a2->clean_ntdll_buffer);
    }
  }
  return result;
}

Persistance

Le mécanisme de persistance de HijackLoader est également contrôlé par sa configuration. Le comportement est dicté par un indicateur :

  • Raccourci LNK (indicateur 1) : si l’indicateur est défini sur 1, HijackLoader crée un fichier LNK pointant vers son propre chemin d’exécutable. Ce raccourci est ensuite déplacé dans le dossier de démarrage de l’utilisateur pour garantir l’exécution à l'ouverture de session.
  • Tâche planifiée (indicateur 3): si l’indicateur est défini sur 3, il crée une tâche planifiée à l’aide du module modTask.

En plus de ces indicateurs, HijackLoader peut créer un autre mécanisme de persistance en vérifiant la présence d’un module PERSDATA . Ce module contient les données de configuration nécessaires, telles que le nom de la tâche, pour créer une seconde tâche planifiée.

Méthodes d’injection

Type d’injection

Description

Si le fichier à injecter est une DLL ou si les indicateurs d’injection sont inférieurs à 0x3,

la charge utile finale sera exécutée dans le même processus, de sorte que la charge utile de la DLL sera mappée dans la DLL évidée (hollowed).

Si la charge utile finale n’est pas un fichier .NET/CLR, que l'indicateur d’injection 0x20 est faux et que 0x80 est vrai

Cache la charge utile rshell dans un faux PE tinystub à l’aide d’une transaction NTFS annulée (rolled-back). Il mappe ensuite ce PE caché dans un processus suspendu (FIXED), où le module ESWR détourne le contexte du thread principal pour exécuter le code rshell.

Si la charge utile finale n’est pas un fichier .NET/CLR et que les indicateurs d’injection 0x20 et 0x80 sont tous deux faux

Le module FIXED est déposé sur le disque et créé en tant que processus suspendu. Le module ESWR est ensuite utilisé pour déclencher l’exécution de la charge utile rshell dans le processus FIXED.

L'indicateur d’injection 0x100 est défini sur vrai et 0x20 est défini sur faux.

Injecte rshell dans un exécutable système légitime suspendu (par exemple, MSBuild.exe) localisé en analysant l’en-tête .NET pour le chemin CLR. La charge utile est patchée en mémoire avant d’être exécutée via un détournement de contexte de thread (thread context hijacking) et efface ses propres en-têtes PE.

Les indicateurs d’injection 0x4 et 0x80 sont tous deux vrais.

Dépose conditionnellement le module FIXED, puis stocke la charge utile rshell dans un fichier transactionnel annulé (rolled-back transacted file) (tinystub). Il l’injecte dans le processus FIXED suspendu via un mappage de section. L’exécution est déclenchée via un détournement de contexte de thread, suivi de l'effacement optionnel de son en-tête PE.

L'indicateur d’injection 0x4 est vrai et 0x80 est faux.

HijackLoader lance un processus suspendu, crée et mappe une nouvelle section de mémoire directement à l’intérieur de celui-ci, puis écrit le module rshell patché dans cette section. L’exécution est déclenchée en détournant le contexte du thread principal pour exécuter le code rShell.

L'indicateur d’injection 0x4 est faux et 0x10 est vrai.

Effectue un Process Hollowing en lançant son module FIXED, en effaçant sa section de mémoire principale, puis en y copiant la charge utile. Il écrit l’en-tête « MZ » en deux appels distincts. Enfin, il injecte le module rshell patché, modifie le PEB et, optionnellement, efface l’en-tête PE de la charge utile.

Le type d’injection est défini sur 4

Injecte la charge utile principale et le module rshell via le mappage de section. Une section est créée et remplie localement avec le rshell patché et la charge utile, puis mappée dans un processus cible suspendu (un binaire natif du système ou un module CUSTOMINJECT). L’exécution est déclenchée en détournant le contexte du thread principal pour qu’il pointe vers le point d’entrée rshell.

Conclusion

Les utilisateurs de la zone LATAM sont de plus en plus souvent la cible d’e-mails usurpant l’identité d’entités gouvernementales ou judiciaires, dont les thèmes créent souvent un sentiment d’urgence. X-Force observe des campagnes qui impliquent couramment un lien intégré ou des pièces jointes ZIP redirigeant les victimes vers des programmes de téléchargement malveillants. Entre août et octobre 2025, X-Force a observé plusieurs e-mails ciblant des utilisateurs résidant probablement en Colombie, imitant le bureau du procureur général de Colombie et proposant des téléchargements de documents officiels. HijackLoader est un logiciel malveillant modulaire doté de mécanismes d’évasion et de persistance, principalement diffusé auprès des utilisateurs sous la forme d’un fichier d’archive ZIP ou RAR. Les archives contiennent une DLL malveillante qui est exécutée par chargement latéral (sideloading) et utilisée pour diffuser des charges utiles supplémentaires. Ces e-mails, qui font probablement partie d’une campagne unique, sont importants car les acteurs utilisent HijackLoader pour diffuser le RAT PureHVNC, une combinaison qui n’avait pas été observée auparavant par X-Force.

Recommandations

  • Activez l’affichage des extensions de fichiers.
  • Examinez la nécessité opérationnelle d’autoriser le trafic vers et depuis les domaines DuckDNS.
  • Soyez prudent lorsque vous ouvrez des pièces jointes à des e-mails et que vous cliquez sur des liens intégrés provenant de sources non fiables ou inconnues.
  • Recherchez les processus, le trafic réseau et les IoC détaillés dans ce rapport.
  • Installez, mettez à jour et configurez les logiciels de sécurité des terminaux.
  • Surveillez les règles des terminaux

Indicateurs de compromission

Indicateur

Type d’indicateur

Contexte

troquelesmyj[@]gmail.com

E-mail

E-mail de l’expéditeur

nuevos777[.]duckdns[.]org

Domaine

Domaine C2

7octubredc[.]duckdns[.]org

Domaine

Domaine C2

dckis13[.]duckdns[.]org

Domaine

Domaine C2

dckis7[.]duckdns[.]org

Domaine

Domaine C2

enviopago[.]mysynology[.]net

Domaine

Domaine C2

maximo26[.]duckdns[.]org

Domaine

Domaine C2

sofiavergara[.]duckdns[.]org

Domaine

Domaine C2

hxxps[:]//drive[.]google[.]com
/file/d/1haApB_GMwZb83nw1
YPdIDTLMtksRjkh/view?pli=1

URL

Hôte SVG

hxxps[:]//drive[.]google[.]com/
file/d/1wzunPhL33jq_ZQug6k0
3hgxi4Eu57VfN/view?usp=sharing

URL

Hôte SVG

e7120d45ee357f30cb602c0d93
ed8d366f4b11c251c2a3cd4753c5
508c3b15e5

SHA256

ZIP

7e64102405459192813541448c8
fbadc481997a2065f26c848f1e35
94ca404c9

SHA256

RAR

14becb3a9663128543e1868d09
611bd30a2b64c655dfb407a727a
7f2d0fb8b7e

SHA256

Hijackloader

57c49cff3e71bc75641c78a5a72d
8509007a18032510f607c042053
c9d280511

SHA256

Hijackloader

7c3d9ad3f1bd890e3552dc6709
3e161395d4e1fab79ec745220af1
e19a279722

SHA256

Hijackloader

ce42377d3d26853fd1718f69341
c0631208138490decc8e71a5622
df5e9e1f59

SHA256

Hijackloader

a0e4979b4e4a706286438d48f
0e21b0d92cc7bd40c1c3ea5b98
72089aaec0124

SHA256

Hijackloader

6d93a486e077858b75eb814e
9a7bda181189d5833adce7cec7
5775cfda03f514

SHA256

Hijackloader

bdca9849d7263d508b7ed4db
bf86bd628932b117b45933cb28
a7e78171d05cdd

SHA256

Hijackloader

1ae61edf35127264d329b7c0e2
bddb7077e34cc5f9417de86ab
6d2d65bad4b4f

SHA256

Hijackloader

2ec31a8a36d73fa8354a7ac0c
39506dbe12638a0dc1b900f5
7620b8d53ae987f

SHA256

Hijackloader

776bbaa44c7788e0ccd5945
d583de9473b6246c4490669
2cb0a52e6329cb213a

SHA256

Hijackloader

9e9997b54da0c633ffcf0a4fb
94e67b482cf7a89522d1b254
778d0c6c22c70ee

SHA256

Hijackloader

b2f733b67f1ef06d9e5ce76d3
cc848f6e7e3ec2d0c363c76d
5175c6cf85f979b

SHA256

Hijackloader

c93e70d20ba2948a6a8a013
df68e5c4d14d59e5f549417d
1a76833bd1c8efd22

SHA256

Hijackloader

d550a2a327394148c0c3d05
df2fe0156783fc313b4038e45
4f9aa2cb2f0f2090

SHA256

Hijackloader

e668ca17fcdfa818aac35f1206
4d10a0288d7d9c6b688966b
695125b760567d6

SHA256

Hijackloader

fe6d0ee45a70359008b2916
e5116c411a955978b5694cc4
57683ab7b26590e47

SHA256

Hijackloader

977f2f18ff13c93406c5702f83
c04a9412760e02028aefc7c1c
b7d6f2797a9b5

SHA256

Hijackloader

768ca38878c5bb15650343ce
49292315a9834eaf62fad1442
2d52510c3787228

SHA256

Hijackloader

47245b7d2d8cb6b92308deb
80399e0273193d5bca39da8
5a6b2a87a109d18d85

SHA256

Hijackloader

4484b0ac51536890301a0e6
573b962e069e31abc4c0c6f0
f6fc1bf66bf588a93

SHA256

Hijackloader

0113d9f3d93069a29458b3b4
c33610aae03961014df60a9e8
59f3104086d886a

SHA256

Hijackloader

22d474e729d600dcd84ce139
f6208ce3e3390693afa7b52b0
615174fca6d0fe2

SHA256

Hijackloader

2cbfc482e27a2240a48d2fb6f
6f740ff0f08598f83ae643a507
c6f12a865dc28

SHA256

Hijackloader

96ee786c5b6167c0f0f770efba
ce25e97d61e127ef7f58a879b6c
f4b57e202c3

SHA256

Hijackloader

33d0c63777882c9ec514be06
2612a56fdb1f291fcb6676c494
80d3cd4501c508

SHA256

PureHVNC

afecefa6d9bd1e6d1c9214420
9eda320e1fe0f196ffa8e8bc114
e7d3a25503f6

SHA256

PureHVNC

85641c8fb94e8e4c5202152dc
bb2bb26646529290d984988
ecb72e18d63c9bc5

SHA256

PureHVNC

1bf3a1cf9bc7eded0b8994d44
cf2b801bf12bc72dc23fb337dd
d3a64ac235782

SHA256

PureHVNC

La solution de renseignements sur les menaces IBM X-Force Premier est désormais intégrée à OpenCTI par Filigran, fournissant des informations exploitables sur cette activité de menace et plus encore. Accédez aux informations sur les acteurs de la menace, les logiciels malveillants et les risques des secteurs. Installez le connecteur OpenCTI X-Force pour améliorer la détection et la réponse, en renforçant votre cybersécurité grâce à l’expertise d’IBM X-Force. Profitez d’un essai de 30 jours à IBM X-Force Premier Threat Intelligence dès aujourd’hui !

Newsletter Think

Votre équipe sera-t-elle en mesure de repérer la prochaine attaque de type zero-day à temps ?

Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.

Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.

https://www.ibm.com/fr-fr/privacy
Solutions connexes
Services de gestion des menaces

Prévoyez, prévenez et répondez aux menaces modernes pour accroître la résilience de l’entreprise.

 

 Découvrir les services de gestion des menaces
Solutions de détection et de réponse aux menaces

Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.

 Découvrir les solutions de détection des menaces
Solutions de défense contre les menaces mobiles (MTD)

Protégez votre environnement mobile avec les solutions complètes de défense contre les menaces mobiles d’IBM MaaS360.

 Explorer les solutions de défense contre les menaces mobiles
Passez à l’étape suivante

Bénéficiez de solutions complètes de gestion des menaces, afin de protéger votre entreprise avec compétence contre les cyberattaques.

 Découvrir les services de gestion des menaces Demander une séance d’information sur les menaces