## Introduction Le **Atos** Threat Research Center (TRC) a identifié une campagne malveillante sophistiquée en mars 2026. Cette opération cible les comptes professionnels à privilèges élevés des administrateurs d'entreprise, des ingénieurs DevOps et des analystes de sécurité en se faisant passer pour des utilitaires administratifs. En intégrant le **Search Engine Order (SEO) poisoning**, une **architecture de distribution GitHub en double étape** et un **système de commande et contrôle (C2) décentralisé basé sur la blockchain**, les acteurs de la menace ont mis en place un mécanisme de livraison et de persistance hautement résilient. ### Distribution Créative via des Façades GitHub La campagne utilise une chaîne de livraison à plusieurs niveaux conçue pour échapper aux actions de suppression au niveau de la plateforme et maintenir un classement élevé dans les moteurs de recherche. L'attaque commence par le **SEO poisoning** sur divers moteurs de recherche, notamment **Bing**, **Yahoo**, **DuckDuckGo** et **Yandex**. Cela garantit que les résultats malveillants pour des termes IT de niche se classent en tête des résultats de recherche. Les utilisateurs sont initialement dirigés vers un **dépôt GitHub "façade" principal**. Ces dépôts sont optimisés pour le SEO mais ne contiennent aucun code malveillant - juste un fichier README d'aspect professionnel. Pour maintenir la flexibilité opérationnelle, le README contient un lien dirigeant une victime vers un **deuxième dépôt GitHub caché**. Celui-ci sert de véritable point de distribution du malware. En séparant le "vitrine" optimisée pour le SEO du compte de livraison de la charge utile, les acteurs de la menace peuvent rapidement faire pivoter leurs dépôts de distribution s'ils sont signalés, tandis que la façade principale indexée par les moteurs de recherche reste active et intacte. ### Usurpation Stratégique d'Outils et Profilage des Victimes La campagne se caractérise par son orientation vers la **pile administrative**. En distribuant des installateurs MSI malveillants déguisés en outils tels que **PsExec**, **AzCopy**, **Sysmon**, **LAPS** et **Kusto Explorer**, l'adversaire effectue un profilage automatisé des victimes. Ces utilitaires sont presque exclusivement utilisés par du personnel disposant de privilèges réseau et système élevés. Une infection réussie sur le poste de travail d'un administrateur peut fournir les "clés du royaume", ce qui peut faciliter les déplacements latéraux à l'intérieur de l'environnement de l'entreprise. ### Commande et Contrôle Décentralisés via Ethereum L'aspect techniquement le plus significatif de la campagne est son implémentation du **Blockchain-based Dead Drop Resolving (DDR)**. Une fois le MSI malveillant exécuté, le malware ne contacte pas un domaine ou une adresse IP codée en dur, qui pourrait être facilement bloquée. Au lieu de cela, le malware initie de manière répétée une requête vers un **point d'accès RPC Ethereum (ETH) public**. Le malware est codé en dur avec une **adresse de contrat intelligent (Smart Contract)** spécifique sur la blockchain Ethereum. En interrogeant ce contrat, le malware récupère dynamiquement l'adresse du serveur C2 actif. Cette technique offre une extrême résilience à l'adversaire : * **Agilité de l'infrastructure :** L'attaquant peut faire pivoter les serveurs C2 globalement en mettant simplement à jour la valeur stockée dans le contrat de la blockchain. * **Robustesse :** Tant que les passerelles Ethereum publiques sont accessibles, le malware peut toujours trouver son "domicile", rendant inefficaces les efforts traditionnels de suppression ou de blocage de domaines. ## Analyse de la Recherche Cette recherche fournit une analyse technique complète de la campagne actuelle, basée sur une observation à long terme et une détonation active dans un environnement contrôlé. Notre recherche va au-delà des vecteurs de livraison initiaux pour examiner l'infrastructure sophistiquée et les comportements post-exploitation. Les points de données suivants représentent les mécanismes opérationnels centraux de la campagne, notamment : * **Distribution du Malware :** Ventilation de l'architecture de dépôts GitHub en double étape et de l'utilisation du SEO-poisoning pour manipuler les résultats des moteurs de recherche. * **Usurpation d'Outils Administratifs :** Un examen détaillé des utilitaires administratifs spécifiques usurpés pour garantir le compromis du personnel IT à privilèges élevés. * **Logique du Malware :** Analyse du malware des charges utiles MSI malveillantes, y compris leurs composants initiaux de mise en scène et de persistance. * **Infrastructure C2 Décentralisée :** Enquête sur l'utilisation par le malware des contrats intelligents Ethereum et des passerelles RPC publiques pour résoudre dynamiquement les adresses actives de commande et de contrôle (C2). *NOTE : Lors de la finalisation de la recherche, nous avons identifié une alerte préliminaire de **KISA**&KrCERT/CC concernant la campagne de cet acteur de menace - [LIEN](https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71998&menuNo=205020). Bien que leur rapport initial ait fourni une visibilité précoce, notre enquête longitudinale confirme que la campagne reste très active et a subi une maturation technique significative.* *Notre enquête confirme en outre que le malware évolue, avec plusieurs variantes distinctes et des infrastructures C2 supplémentaires identifiées depuis le début de la campagne.* > *Découvrez les dernières informations sur la menace et les recherches sur les adversaires sur [Atos Cyber Shield Blogs.](https://atos.net/en/lp/cybershield)* ### Distribution du Malware La visualisation ci-dessous démontre la chaîne de distribution en double étape, où le dépôt façade optimisé pour le SEO redirige les utilisateurs sans méfiance vers un compte GitHub secondaire hébergeant le MSI malveillant. Cette architecture modulaire permet aux acteurs de la menace de préserver leur classement dans les moteurs de recherche même si les comptes individuels de livraison de charge utile sont supprimés.  Le cycle d'intrusion commence par une requête de recherche via Bing (également Yahoo, DuckDuckGo, Yandex) pour des utilitaires administratifs IT spécialisés. Grâce à un SEO poisoning agressif, les acteurs de la menace s'assurent que le dépôt GitHub façade apparaît en bonne place parmi les meilleurs résultats de recherche. Dans ce cas, un utilisateur recherchant Kusto Explorer – un outil essentiel pour les ingénieurs et analystes interrogeant Azure Data Explorer via KQL – est dirigé vers une vitrine non malveillante conçue pour établir une confiance initiale. <table><tbody><tr><td></td></tr><tr><td>Recherche Bing pour "kusto explorer"</td></tr></tbody></table> <table><tbody><tr><td></td></tr><tr><td>Recherche Bing pour "kusto explorer download"</td></tr></tbody></table> Le premier dépôt que l'utilisateur ouvre est une vitrine qui usurpe l'identité de l'outil administratif ciblé. Ce dépôt façade est intentionnellement exempt de malware, servant uniquement de passerelle vers la deuxième étape malveillante du processus de livraison. Grâce à une telle conception, il maintient un classement élevé dans les moteurs de recherche. Premier dépôt GitHub - utilisé uniquement comme façade <table><tbody><tr><td></td></tr></tbody></table>